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内 容 提要 


本 书 以 现实 网 络 中 的 热点 攻击 事件 为 入 口 ， 深 入 分 析 了 各 种 DDoS 攻防 原理 ， 并 结合 华为 
Anti-DDoS 技术 给 出 了 详细 解决 方案 。 同 时 ， 作 者 总 结 多 年 维护 和 服务 经 验 ， 将 其 作为 配置 要 点 呈献 给 
读者 ， 内 容 涵盖 华为 Anti-DDoS 解决 方案 的 组 成 、 产 品 介绍 、 要 点 配置 和 实战 案例 等 。 

本 书 适合 于 服务 或 者 渠道 工程 师 ， 以 及 想 学 习 或 对 DDoS 攻防 技术 感 兴趣 的 读者 ; 同时 ， 本 书 也 
可 作为 理论 学 习 用 书 , 帮助 企业 员工 学 习 Anti-DDoS 技术 , 帮助 他 们 熟悉 和 理解 华为 Anti-DDoS 的 相关 
技术 应 用 ， 提 升 工作 效率 。 
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随 着 云 计算 的 快速 发 展 , 各 行 各 业 的 业务 越 来 越 多 地 向 云 化 转变 ，DDoS 攻击 已 
经 成 为 互联 网 的 首要 威胁 。 越 是 竞争 激烈 的 在 线 业 务 ， 被 攻击 的 频 度 越 高 ， 攻 击 越 
复杂 。 随 着 IoT 的 快速 发 展 ， 越 来 越 多 的 IoT 终端 成 为 攻击 端 ， 由 于 各 类 开放 服务 
器 放大 了 攻击 ， 攻 击 流量 峰值 也 越 来 越 高 。 目 前 ，, 多 矢量 混合 攻击 更 成 为 常态 ， 在 
这 种 形势 下 ，DDoS 攻防 对 抗 技术 难度 一 再 被 提升 。 另 一 方面 ， 易 遭受 攻击 的 游戏 、 
视频 聊天 等 应 用 ， 大 多 采用 私有 协议 ， 私 有 协议 的 广泛 使 用 也 进一步 提升 了 防御 技 
术 的 难度 。 

当 DDoS 防御 作为 一 种 SaaS 服务 企业 客户 时 ， 防 御 系 统 不 仅 要 求 它 能 快速 响应 攻 
击 ， 还 要 求 它 在 过 滤 攻 击 时 尽 可 能 降低 客户 对 访问 体验 的 影响 。 因 此 ， 当 前 的 DDoS 防 
御 技 术 远 不 是 限 速 和 SYN Cookie 那么 简单 。 一 个 好 的 防御 系统 应 当 有 丰富 多 样 的 防御 
策略 ， 即 使 对 于 同一 类 攻击 ， 针 对 不 同 的 业务 系统 也 可 提供 不 同 的 防御 策略 。 但 丰富 灵 
活 的 防御 策略 也 是 把 双 刃 剑 ， 对 懂 这 些 技 术 的 人 而 言 ， 丰 富 灵 活 的 防御 策略 提供 了 更 多 
的 运 维 手段 ， 而 对 不 懂 这 些 技术 的 人 来 说 ， 防 御 策 略 的 配置 太 复 杂 ， 配 置 不 当 往 往 容 易 
引起 防御 误 判 。 配 置 复杂 和 运 维 成 本 高 ， 已 成 为 DDoS 防御 系统 的 代名词 。 因 此 ， 运 维 
人 员 对 攻防 技术 原理 理解 的 深入 程度 直接 决定 了 防御 系统 发 挥 作用 的 大 小 。 而 且 DDoS 
防御 方案 的 部 署 对 网 络 有 很 强 的 依赖 性 ， 不 同 的 网 络 需 要 不 同 的 引流 回 注 方案 ， 如 何 实 
现 Anti-DDoS 方案 在 典型 场景 的 快速 部 署 ， 同 样 是 安全 运 维 或 交付 人 员 需 要 掌握 的 基础 
知识 。 

华为 16 年 安全 产品 的 成 功 经 验 ， 不 仅 葛 定 了 华为 在 信息 安全 领域 的 地 位 ， 同 样 
造就 了 一 文 精 锐 的 安全 产品 研发 团队 。 华 为 一 贯 重视 产品 资料 ， 要 求 服务 团队 、 客 户 
甚至 资料 团队 能 按照 资料 说 明 ， 完 成 设备 上 线 ， 这 一 近乎 无 情 的 苛刻 要 求 无 形 中 造就 
了 华为 安全 产品 资料 团队 人 人 都 是 安全 专家 。《 华 为 Anti-DDoS 技术 漫谈 》 是 继 《 华 
为 防火 墙 技术 漫谈 》 之 后 的 华为 安全 产品 资料 团队 推出 的 又 一 精品 力作 ， 是 华为 
Anti-DDoS 产品 资料 专家 团队 在 华为 10 多 年 的 DDoS 攻防 技术 持续 研究 及 Anti-DDoS 
产品 研发 经 验 的 基础 上 , 推出 的 一 本 难得 的 针对 企业 安全 运 维 人 员 的 DDoS 攻防 技术 
教科 书 。 本 书 用 幽默 、 形 象 的 语言 ， 结 合 现 网 几 次 著名 攻击 事件 ， 深 入 浅 出 地 揭 开 每 
一 种 攻击 防御 技术 神秘 的 面纱 ， 让 安全 运 维 人 员 理 解 攻 击 本 质 ， 掌 握 防御 技术 要 点 ， 
同时 结合 典型 防御 场景 , 总 结 Anti-DDos 方案 部 署 的 要 点 , 为 从 前 期 网 络 规划 到 后 期 
部 署 、 策 略 配 置 ， 提 供 了 详细 的 配置 举例 说 明 。 
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最 初 ， 华 为 Anti-DDoS 产品 资料 专家 团队 只 是 将 每 一 种 攻防 技术 内 容 在 华为 企业 论 
坛 上 分 期 发 表 ， 没 想到 此 项 举措 引起 业内 外 人 士 广泛 关注 ， 好 评 如 湖 。 因 而 团队 萌发 了 
将 其 装订 成 册 的 想法 , 让 它 以 DDoS 攻防 专业 技术 书籍 的 形式 呈现 给 华为 的 客户 ,期 望 华 
为 10 多 年 的 DDoS 攻防 技术 积累 能 直接 使 客户 的 网 络 更 加 安全 。 


华为 Anti-DDoS 产品 经 理 ” 杨 痢 


亚 
了 路 


适用 读者 对 象 


e 华为 Anti-DDoS 方案 的 用 户 

本 书 可 作为 华为 Anti-DDoS 用 户 的 自学 用 书 , 帮助 他 们 更 快 地 熟悉 Anti-DDoS 方案 ， 
了 解 Anti-DDos 方案 的 关键 防御 原理 ， 掌 握 Anti-DDoS 方案 部 署 技巧 ， 找 到 解决 问题 的 
思路 。 

e ICT 从 业 人 员 

本 书 可 作为 工具 用 书 ， 帮 助 ICT 从 业 人 员 更 快 地 熟悉 Anti-DDoS 方案 ， 了 解 
Anti-DDoS 方案 关键 防御 原理 ， 掌 握 Anti-DDoS 方案 部 署 技 巧 ， 找 到 解决 问题 的 思路 。 

本 书 可 作为 HCIE 安全 培训 认证 参考 书 ， 帮 助 ICT 从 业 人 员 尽 快 通过 华为 认证 ， 提 
升 个 人 价值 。 

。 高 校 学 生 

本 书 可 作为 计算 机 通信 等 相关 专业 学 生 的 自学 参考 书 ， 帮 助 学 生 快速 地 熟悉 
Anti-DDoS 防御 技术 一 使 他 们 在 今后 的 职业 生涯 中 有 一 个 更 好 的 起 步 。 

。 对 信息 和 网 络 技术 感 兴趣 的 爱好 者 

本 书 可 作为 学 习 信 息 和 网 络 技术 的 参考 书籍 ， 使 爱好 者 了 解 华为 产品 和 技术 的 特 
点 ， 掌 握 华为 产品 和 技术 的 应 用 ， 并 为 其 进一步 的 技术 研究 提供 指导 。 


本 书 主 要 内 容 


全 书 共 分 为 7 篇 ， 包 括 方案 篇 、DNS 篇 、HTTP 篇 、TCP 篇 、UDP 篇 、 配 置 篇 和 实 
战 篇 。 方 案 篇 介绍 了 华为 Anti-DDos 方案 的 组 成 、 关 键 技术 及 应 用 场景 ; DNS 篇 、HTTP 


攻击 防御 原理 ， 配 置 篇 主要 介绍 引流 和 回 注 的 配置 要 点 ， 以 及 防御 策略 的 关键 配置 ， 实 
战 篇 共 包 含 4 个 实际 案例 ， 采 用 了 先 介 绍 场景 ， 再 介绍 配置 ， 一 边 介 绍 配 置 一 边 点 评 的 
写作 方式 ， 向 读者 传授 理论 应 用 于 实践 时 的 技巧 。 

第 1 篇 方案 

本 篇 首先 介绍 了 DDoS 攻击 的 定义 、 特 点 和 分 类 ， 然 后 介绍 了 华为 Anti-DDoS 方案 
关键 技术 以 及 华为 云 清 系 统 ， 另 外， 还 介绍 了 华为 Anti-DDoS 的 硬件 产品 型 号 、 部 署 方 
式 和 部 署 模式 ， 这 些 是 读者 了 解 华为 Anti-DDoS 方案 必须 掌握 的 入 门 级 概念 。 

第 2 篇 DNS 

本 篇 首先 以 近 几 年 狠 动 全 国 的 视频 软件 断 网 事件 为 背景 ， 介 绍 DNS 攻击 过 程 以 及 
关键 防御 思路 ; 然后 系统 解析 DNS 协议 报 文 的 格式 和 交互 过 程 ， 并 分 别 介 绍 华为 
Anti-DDos 方案 如 何 防御 DNS Request Flood 攻击 、DNS Reply Flood 攻击 以 及 DNS 缓存 
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投 毒 攻 击 的 原理 。 

第 3 篇 HTTP 

本 篇 首先 通过 跨 站 脚本 攻击 事件 ， 介 绍 HTTP 攻击 过 程 及 关键 防御 思路 ， 然 后 系统 
解析 HTTP 请 求 报 文 和 响应 报 文 的 格式 和 交互 方式 ， 并 分 别 介绍 华为 Anti-DDoS 方案 如 
何 防御 HTTP GET Flood、HTTP POST Flood 以 及 HTTP 慢 速 攻击 的 原理 。 

第 4 篇 TCP 

本 篇 首先 分 析 近 几 年 一 次 较 大 的 SYN Flood 攻击 事件 ， 并 引出 SYN Flood 攻击 的 关 
键 防御 思路 ; 然后 详细 分 析 TCP 的 报 文 格 式 及 三 次 握手 和 四 次 握手 交互 过 程 ， 并 分 别 介 
绍 针对 SYN Flood、SYN-ACK Flood、ACK Flood、FIN/RST Flood 攻击 的 防御 原理 ， 以 
及 防御 TCP 连接 耗 尽 攻击 和 TCP 异常 报 文 攻击 等 常见 的 TCP 类 攻击 的 原理 。 

第 5 篇 UDP 

本 篇 首先 以 近 几 年 越 来 越 猩 狐 的 NTP 反射 放大 攻击 为 背景 , 介绍 反射 放大 攻击 的 攻 
击 原理 和 防御 思路 ; 然后 在 深入 分 析 UDP 报 文 格 式 和 报 文 特点 的 基础 上 ， 介 绍 华为 
Anti-DDoS 方案 针对 UDP Flood 攻击 的 防御 关键 技术 及 原理 。 

第 6 篇 配置 

本 篇 介绍 了 华为 Anti-DDoS 方案 在 部 署 过 程 中 常用 的 关键 配置 ， 包含 引流 和 回 注 配 
置 、 引 流 回 注 配 置 结果 验证 ， 以 及 防御 策略 和 阔 值 的 配置 要 点 等 。 

第 7 篇 。 实战 

1. 城 域 网 防护 

本 章 介 绍 了 华为 Anti-DDoS 方案 部 署 在 城 域 网 出 口 ， 如 何 为 城 域 网 提供 DDoS 防护 
的 规划 和 配置 思路 ， 以 及 结合 城 域 网 特点 给 出 配置 建议 。 

2. 小 型 数据 中 心 防护 

本 章 介 绍 了 华为 Anti-DDoS 方案 部 署 在 小 型 数据 中 心 出 口 ， 如 何 为 单 链 路 的 数据 中 
心 提 供 DDoS 防护 的 规划 和 配置 思路 ， 以 及 结合 单 链 路 数据 中 心 特点 给 出 配置 建议 。 

3 大 型 数据 中 心 防护 

本 章 介 绍 了 华为 Anti-DDoS 方案 部 署 在 大 型 数据 中 心 出 口 ， 如 何 为 双 链 路 的 数据 中 
心 提 供 DDoS 防护 的 规划 和 配置 思路 ， 以 及 结合 双 链 路 数据 中 心 特点 ， 从 可 靠 性 等 多 方 
面 考虑 给 出 配置 建议 。 

4. 企业 园区 防护 

本 章 介 绍 了 华为 Anti-DDoS 方案 部 署 在 企业 园区 出 口 ， 如 何 为 企业 网 提供 DDoS 防 
护 的 规划 和 配置 思路 ， 以 及 结合 企业 网 的 特点 ， 从 可 靠 性 等 多 方面 考虑 给 出 配置 建议 。 
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以 下 是 本 书 主编 介绍 。 
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韩 绞 ， 具 有 10 年 华为 Anti-DDoS 产品 资料 开发 经 验 ， 负 责 华为 Anti-DDoS 产品 文 
档 的 写作 。 她 曾 作为 《 强 叔 侃 强 》 作 者 之 一 ， 参 与 《华为 防火 墙 技术 漫谈 》 中 攻击 防范 
部 分 的 写作 。 
以 下 是 参与 本 书 编写 和 技术 审 校 人 员 名 单 。 
策 ” 划 : 李 学 昭 、 金 德 胜 
作 者 : 韩 婉 、 白 。 杰 、 金 德 胜 、 卢 宏 旺 、 房 雪 艳 
美术 编辑 : 申 洪 文 
技术 评审 : 杨 莉 、 吴 波 、 李 翔 、 潘 永 波 、 胡 伟 、 黄 治 登 、 圳 “” 方 、 陶 倚天 、 
闫 广 辉 、 矫 涌 球 、 沈 海峰 、 朱 旭 德 、 吴 永 清 、 陈 ， 佳 、 张 凯 程 、 邓 福 祥 、 
姜 吴 、 付 佳 、 李 帅 i 
参与 本 书 编写 和 审 稿 的 老师 虽然 有 多 年 ICT 从 业经 验 , 但 因 时 间 仓 促 , 错漏 之 处 
在 所 难免 ， 望 读者 不 吝 赐教 ,在 此 表示 衷心 的 感谢 。 读 者 对 于 本 书 有 任何 意见 和 建议 
可 以 发 送 邮 件 至 hanjiao09@huawei.com, 或 直接 登录 华为 企业 论坛 《华安 解密 》 汇 总 
帖 反 馈 。 s 
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1.1 什么 是 DDoS 攻击 


1.1.1 DDoS 攻击 的 定义 


DDoS 的 前 身 是 DoS (Denial of Service， 拒 绝 服务 )， 最 基本 的 DoS 攻击 是 指 攻击 
者 利用 大 量 合理 的 服务 请 求 来 占用 过 多 的 攻击 目标 的 服务 资源 ， 从 而 使 合法 用 户 无 法 
得 到 服务 响应 的 过 程 。DoS 攻击 一 般 采 用 一 对 一 的 方式 ， 当 攻击 目标 各 项 性 能 指标 不 
高 时 (例如 CPU 速度 低 、 内 存 小 或 者 网 络 带宽 小 等 )， 它 的 效果 是 明显 的 ， 如 图 1-1 
所 示 。 





僵尸 主机 
图 1-1 DDoS 攻击 过 程 示意 


随 着 计算 机 处 理 能 力 的 不 断 提高 ， 网 络 带宽 迅速 增长 ， 以 往 的 受 攻 击 目标 对 这 些 恶 
意 请 求 的 “消化 能 力 ” 增 强 了 很 多 ， 这 就 使 得 Dos 攻击 的 困难 程度 大 大 增加 。 一 个 攻击 
者 无 法 使 目标 “拒绝 服务 ”那么 攻击 者 会 同时 发 起 多 个 攻击 ， 这 时 DDoS (Distributed 
Denial of Service， 分 布 式 拒绝 服务 ) 攻击 也 就 应 运 而 生 了 。DDoS 攻击 是 指 攻击 者 控制 
僵尸 网 络 中 的 大 量 僵尸 主机 向 攻击 目标 发 送 大 流量 数据 ， 耗 尽 攻 击 目标 的 系统 资源 ， 导 
致 其 无 法 正常 地 响应 服务 请 求 。 


1.1.2” DDoS 攻击 的 特点 


1. DDoS 攻击 很 容易 被 发 起 

DDoS 攻击 的 发 起 很 容易 , 攻击 者 可 以 很 方便 地 从 互联 网 获取 各 类 DDoS 攻击 工具 ， 
从 而 发 起 攻击 。 比 较 出 名 的 发 起 DDoS 的 免费 工具 有 卢 瓦 (LOIC)、HOIC (LOIC 升级 
版 )、XOIC、Hulk、DAVOSET、 黄 金 眼 等 。DDosS 攻击 者 还 可 以 购买 僵尸 网 络 或 者 DDoS 
攻击 服务 =- 有 的 攻击 者 甚至 可 以 借助 正常 的 软件 或 网 站 发 起 攻击 。 

2. DDoS 攻击 防御 难度 大 

DDoS 攻击 防御 难度 大 ， 攻 击 会 损害 受害 者 的 金钱 、 服 务 和 信誉 。 报 告 显示 ，65% 
以 上 的 DDoS 攻击 每 小 时 给 受害 企业 造成 的 损失 高 达 一 万 美元 。 例 如 2016 年 10 月 ， 针 
对 美国 DNS 服务 提供 商 Dyn 公司 的 一 系列 DDoS 攻击 导致 Twitter、GitHub、BBC、 华 
尔 街 日 报 、Xbox 官网 、CNN、HBO Now、 星 巴克 、 纽 约 时 报 、The Verge、 金 融 时 报 等 
大 量 站 点 无 法 正常 访问 ， 造 成 的 损失 不 可 估量 。 
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1.1.3 ”DDoS 攻击 的 分 类 


DDoS 攻击 根据 攻击 方式 划分 有 以 下 三 种 类 型 : 泛 洪 攻击 〈Flood)、 畸 形 报 文 攻击 
(Malformation〉 和 扫描 探测 类 攻击 (Scan&Probe)。 

1. 泛 洪 攻击 

泛 洪 攻击 是 一 种 攻击 者 通过 僵尸 网 络 、 代 理 或 直接 向 攻击 目标 发 送 大量 伪 装 的 服务 
请 求 报 文 ， 最 终 耗 尽 攻击 目标 的 资源 的 攻击 方式 ， 如 图 1-2 所 示 。 攻 击 者 发 送 的 大 量 报 
文 可 以 是 TCP 的 SYN 和 ACK 报 文 、UDP 报 文 、ICMP 报 文 、DNS 报 文 、HTTP/HTTPS 
报 文 等 。 





僵尸 主机 。 Src: 1.1.1.1 NTP 服务 器 
Dist: 了 222 2.2.2.2 
SIC 2 
Dst:1.1.1.1 


A 
Sre: 1.1.1.1 pt 
Dst: 3.3.3.3 [名 
3 
7 
(a KOs 3.3,3.3 
< Dets lelalsl 
ws 人 人 














发 起 Monlist 请 求 到 0 
tt NTP 服务 器 将 百倍 的 回应 
© 发 起 Monlist 请 求 ， 源 IP 地 址 伪装 成 攻击 目标 上. @ eer 





图 1-2 泛 洪 攻击 


近年 来 ， 泛 洪 攻 击 又 发 展 出 了 一 种 高 级 形式 ， 即 反射 攻击 。 反 射 攻击 并 不 是 攻击 者 
直接 向 攻击 目标 发 起 大 量 的 服务 请 求 ， 而 是 攻击 者 控制 僵尸 网 络 中 的 海量 僵尸 主机 ， 将 
其 伪装 成 攻击 目标 ， 然 后 这 些 僵尸 主机 以 攻击 目标 的 身份 向 网 络 中 的 服务 器 发 起 大 量 服 
务 请 求 。 网 络 中 的 服务 器 会 响应 大 量 的 服务 请 求 ， 并 发 送 大 量 的 应 答 报 文 给 真正 的 攻击 
目标 ， 从 而 造成 真正 的 攻击 目标 性 能 耗 尽 。 

反射 攻击 大 多 是 由 UDP flood 变种 而 来 的 , 它 反射 的 是 UDP 报 文 , 例如 NTP、DNS、 
SSDP、SMTP、Chargen 等 。 攻 击 者 为 什么 会 选中 UDP 报 文 呢 ? 因为 UDP 的 响应 
(Response) 报 文 大 小 要 大 于 请 求 (Request) 报 文 ， 这 样 攻击 者 就 实现 了 放大 攻击 流量 
的 目的 。 

以 NTP 报 文 为 例 ， NTP 的 Monlist 命令 被 用 来 查询 最 近 所 有 和 服务 器 通信 的 记录 ， 
服务 器 会 返回 最 多 600 个 通信 记录 ， 这 样 流量 就 被 放大 了 数 百 倍 。 如 果 攻 击 者 控制 成 千 
上 万 的 僵尸 主机 ， 并 将 其 伪装 成 攻击 目标 ， 并 向 NTP 服务 器 发 送 大 量 此 命令 ， 那 么 反射 
给 攻击 目标 的 流量 数量 可 想 而 知 ! 

2. 畸形 报 文 攻击 

畸形 或 特殊 报 文 攻击 通常 是 指 攻击 者 发 送 大量 有 缺陷 或 具有 特殊 控制 作用 的 报 文 ， 
从 而 造成 主机 或 服务 器 在 处 理 这 类 报 文 时 造成 系统 崩溃 的 过 程 。 常 见 的 畸形 报 文 攻 击 有 
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Smurf、Land、Fraggle、Teardrop、WinNuke 攻击 等 。 特 殊 控制 报 文 攻击 包括 超大 ICMP 
报 文 、ICMP 重 定向 报 文 、ICMP 不 可 达 报 文 和 各 种 带 选 项 的 全 报 文 攻击 。 

3. 扫描 探测 类 攻击 

扫描 探测 类 攻击 是 一 种 潜在 的 攻击 行为 ， 并 不 具备 直接 的 破坏 行为 。 它 通常 是 指 攻 
击 者 发 动 真正 攻击 前 的 网 络 探测 行为 ， 例 如 IP 地址 扫描 和 端口 扫描 等 。 

DDoS 攻击 从 网 络 层次 的 划分 见 表 1-1。 


表 1-1 攻击 分 类 





IP 地 址 扫描 攻击 

大 部 分 特殊 控制 报 文 攻 击 
Teardrop 攻击 

Smurf 攻击 

IP 分 片 报 文 攻击 

ICMP flood 攻击 


网 络 层 








SYN flood 
SYN-ACK flood 
ACK flood 
FIN/RST flood 
TCP 连接 耗 尽 攻击 
传输 层 UDP flood (包括 各 种 反射 攻击 ) 
TCP/UDP 分 片 报 文 攻击 
DNS flood 
DNS 缓存 投 毒 
其 余 各 种 与 TCP、UDP 报 文 和 端口 相关 的 攻击 


HTTP flood 
HTTP 慢 速 攻击 

应 用 层 HTTPS flood 
SSL DDoS 攻击 
SIP flood 





1.1.4 ”DDoS 攻击 分 析 


1. DDoS 攻击 类 型 

通过 以 上 描述 ， 大 家 应 该 对 DDoS 攻击 有 了 初步 的 了 解 。 下 面 我 们 再 为 大 家 分 析 一 下 当 
前 DDoS 攻击 的 趋势 ,让 大 家 对 我 们 当今 所 处 的 网 络 环境 中 的 DDoS 攻击 有 一 个 初步 的 认识 。 

如 图 1-3 所 示 ， 华 为 未 然 实验 室 现 网 络 攻击 事件 统计 数据 显示 ，SYN flood、UDP 
flood (包括 UDP 类 反射 放大 攻击 )、HTTP get flood、DNS query flood 等 依然 是 DDoS 
攻击 的 惯用 手段 。 

(1) SYN flood 

SYN flood 攻击 是 DDoS 攻击 中 的 经 典 方式 ， 也 是 最 古老 和 原始 的 DDoS 攻击 方式 。 
在 网 络 发 展 初期 ，SYN flood 攻击 就 是 DDoS 攻击 的 代名词 。SYN flood 攻击 具有 攻击 简 
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单 、 防 御 难 的 特质 。SYN flood 攻击 使 用 的 是 最 简单 、 最 常用 的 、 被 用 于 -TCP 三 次 握手 
的 SYN 报 文 ， 所 以 其 发 起 攻击 十 分 简单 ， 而 且 ，SYN 报 文 是 TCP 连接 建立 的 第 一 个 报 
文 。 单 独 来 看 ， 每 一 个 SYN 报 文 都 是 正常 的 ， 防 御 设 备 不 会 对 其 采取 任何 措施 。 

(2) UDP flood 

UDP flood 攻击 目前 已 经 取代 SYN flood 攻击 ,成 为 DDoS 攻击 中 的 主要 方式 。 
具体 原因 如 下 : 第 一 ，UDP 都 是 无 连接 的 协议 ， 不 提供 可 靠 性 和 完整 性 校 验 ， 因 
此 其 成 为 攻击 者 理想 的 利用 对 象 ， 第 二 ，UDP 种 类 繁多 ， 防 御 起 来 难度 更 大 ;第 
三 ， 传 统 UDP 攻击 是 攻防 者 之 间 关 于 带宽 的 比拼 ， 而 反射 型 的 UDP 攻击 让 攻防 
者 不 再 对 等 ， 因 为 反射 出 来 的 攻击 流量 要 远 远大 于 攻击 者 投入 的 流量 。 

(3) HTTP flood rw 

HTTP flood 攻击 迅速 发 展 的 原因 如 下 : 第 一 ，HTTP 的 应 用 十 分 广泛 ; 第 二 ， 网 页 
和 应 用 中 的 漏洞 比较 容易 被 攻击 者 利用 构造 HTTP 反射 类 的 攻击 。 例 如 ， 攻 击 者 在 海量 
访问 的 网 页 中 骨 入 指向 攻击 目标 网 站 的 恶意 JavaScript 代码 ， 当 互联 网 用 户 访问 该 网 页 
时 ， 流 量 会 被 反射 到 攻击 目标 网 站 。 

(4) DNS flood 

DNS flood 攻击 DNS 服务 器 的 代价 小 ， 影 响 范围 广 ， 能 够 造成 忍 慌 ， 因 此 此 类 攻击 
仍 占 有 较 大 比例 。 

2. DDoS 攻击 目标 

DDoS 的 攻击 目标 主要 为 游戏 、 电 子 商务 、 互 联网 金融 等 ， 如 图 1-4 所 示 。 这 些 都 
是 利润 较 高 的 行业 ， 且 是 竞争 最 激烈 的 行业 。 因 此 恶意 竞争 是 目前 DDoS 攻击 的 主要 动 
机 。 利 润 越 高 、 竞 争 越 激烈 的 行业 ， 遭 受 攻击 的 频率 越 高 。 








SYN flood:29.4% 

团 UDP flood:48.58% 
DNS flood:4.5% 

四 HTTP flood:9.1% 
ICMP flood: 1.879% 
NFINRST flood:1.63% 


游戏 : 51.6% 
团 电子 商务 : 12.38% 


SS 团 金融 : 9.2% 









SS 加 教育 : 2.73% 
贺 ACK flood:2.79% 贺 旅游 :8.74% 


A 博彩 : 4.2% 
网 Other:2.13% 园 其 他 : 4.35% 


图 政府 : 6.8% 
图 1-3 DDoS 攻击 类 型 分 布 图 1-4 DDoS 攻击 行业 分 布 





游戏 行业 作为 近 几 年 兴起 的 新 兴 行 业 ， 已 经 成 为 DDoS 攻击 的 “ 重 灾区 ”。 游 戏 行 
业 也 是 竞争 最 激烈 的 行业 之 一 ， 在 线 游戏 和 直播 网 站 一 旦 被 攻击 ， 玩 家 将 直接 掉 线 ， 由 
此 带 来 的 损失 非常 大 。 游 戏 行 业 用 户 基数 大 、 用 户 类 型 多 、 在 线 维护 难度 大 的 特点 ， 也 
使 其 极 易 受到 DDoS 攻击 。 另 外 ， 由 于 很 多 游戏 是 基于 私有 协议 开发 的 ， 传 统 的 DDoS 
防御 手段 在 没有 贴 合 业务 特性 的 情况 下 ， 防 御 DDoS 攻击 较 难 。 

3. DDoS 攻击 的 趋势 

DDoS 攻击 的 趋势 总 结 起 来 主要 有 4 点， 如 图 1-5 所 示 。 
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图 1-5 ”DDoS 攻击 趋势 


(1) 攻击 流量 越 来 越 大 

DDos 的 攻击 流量 已 达 500Gbit/s。2016 年 全 球 有 记录 的 DDoS 峰值 已 近 60Gbit/s， 
而 到 了 2017 年 上 半年 ， 规 模 最 大 的 DDoS 攻击 流量 则 已 达到 650Gbit/s。 其 中 ， 游 戏 行 
业 大 于 30Gbit/s 以 上 的 攻击 就 超过 了 1800 次 。 

(2) 移动 攻击 越 来 越 多 

随 着 智能 终端 和 4G 移动 网 络 的 普及 ， 来 自 移动 端的 攻击 越 来 越 多 。 移 动 终 端的 安 
全 防护 能 力 和 用 户 安全 意识 较 弱 ， 容 易 成 为 DDoS 攻击 利用 的 对 象 。 值 得 一 提 的 是 ， 随 
着 物 联网 的 兴起 ， 基 于 物 联网 协议 的 SSDP (Simple Service Discovery Protocol) 的 反射 
攻击 频率 越 来 越 高 ， 明 显 超越 NTP、DNS 等 传统 反射 攻击 。SSDP 被 广泛 应 用 于 网 络 摄 
像 头 和 智能 家 电 ， 因 此 SSDP 反射 攻击 源 数量 非常 庞大 ， 而 且 网 络 资源 更 加 丰富 。 

(3) 应 用 型 攻击 越 来 越 普 遍 

应 用 层 的 攻击 将 会 越 来 越 普遍 。 报告 显示 ，2017 年 与 2016 年 相 比 ， 应 用 型 攻击 增 
长 了 42%。 其 中 HTTP flood 攻击 增长 高 达 26%， 混 合 型 攻击 增长 高 达 40%。 

混合 型 攻击 是 指 攻击 者 同时 采取 多 种 类 型 的 攻击 报 文 来 进行 DDoS 攻击 ， 例 如 ， 传 
输 层 与 应 用 层 相 结合 的 DDoS 攻击 , 应 用 层 的 HTTP flood 大 流量 攻击 与 HITP 慢 速 小 流 
量 渗透 攻击 相 结合 的 攻击 。 混 合 型 DDoS 攻击 让 普通 的 DDoS 防御 设备 难以 防范 ， 或 将 
成 为 今后 主流 的 DDoS 攻击 方式 。 

(4) 攻击 更 多 是 从 数据 中 心 发 起 的 

告 显 示 ， 由 数据 中 心 向 外 发 起 的 DDoS 攻击 呈 增 长 趋势 ， 数 据 中 心服 务 器 被 黑客 
控制 沦 为 僵尸 网 络 的 趋势 也 与 日 剧 增 ; 超大 流量 的 DDoS 攻击 多 数 由 被 控制 的 数据 中 心 
发 起 。 由 此 可 见 ， 数 据 中 心 已 经 成 为 DDoS 攻击 的 控制 目标 。 

随 着 云 计算 的 快速 发 展 ;五 联网 业务 越 来 越 集 中 ， 云 数据 中 心 将 面临 比 传统 数据 中 
心 更 加 严峻 的 DDoS 攻击 考验 。 主 要 原因 在 于 : 云 数据 中 心虚 拟 机 的 租户 身份 难以 被 有 
效 识别 ， 且 其 安全 意识 薄弱 ， 虚 拟 机 数量 庞大 、 业 务 种 类 多 、 流 量 模型 差别 大 ， 难 以 得 
到 完全 的 、 具 有 针对 性 的 防护 。 


1.2 ”华为 Anti-DDoS 方案 


前 面 我 们 介绍 了 DDoS 攻击 的 基本 概念 并 分 析 了 DDoS 攻击 的 发 展 趋势 。 可 能 大 家 
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会 考虑 ， 对 于 DDoS 攻击 ， 我 们 难道 就 没有 应 对 之 策 了 吗 ? 
在 这 种 情况 下 ， 华 为 Anti-DDoS 方案 应 运 而 生 ， 其 能 够 完美 地 检测 和 防御 DDoS 攻 
击 ， 是 当今 对 抗 DDoS 攻击 的 不 二 之 选 。 


1.2.1 华为 Anti-DDosS 方案 的 介绍 


华为 Anti-DDoS 方案 包括 三 大 组 件 : 检测 中 心 、 清 洗 中心 和 管理 中 心 (ATIC)。 

Q 检测 中 心 主要 负责 检测 流量 ， 发 现 流量 异常 后 上 报 管理 中 心 ， 管 理 中 心 下 发 引 
流 策略 至 清洗 中 心 ， 指 挥 清洗 中 心 进行 引流 清洗 。 

@ 清洗 中 心 主要 根据 管理 中 心 下 发 的 策略 进行 引流 、 并 清洗 流量 (过 滤 )， 并 把 清 
洗 后 的 正常 流量 回 注 ， 同 时 将 这 些 动作 记录 在 日 志 中 上 报 管理 中 心 。 

@ 管理 中 心 负责 检测 中 心 和 清洗 中 心 的 统一 管理 和 调度 ， 即 日 志 记 录 和 报表 呈现 ， 
以 及 Anti-DDoS 运营 方案 的 提供 。 

华为 Anti-DDoS 方案 的 经 典 部 署 如 图 1-6 所 示 。 






-一 一 一 分光 流量 
- -一 -人 清洗 前 流量 
-一 一 一 > 清洗 后 流量 
管理 流量 























图 1-6 华为 Anti-DDoS 方案 经 典 部 署 


Anti-DDoS 方案 的 工作 流程 说 明 如 下 。 

Q 检测 中 心 检测 分 光 或 者 镜像 流量 。 

@ 检测 中 心 发 现 流 量 异 常 后 ， 上 报 受 攻击 的 IP 地 址 到 管理 中 心 。 

@) 管理 中 心 自动 向 清洗 中 心 下 发 引流 策略 。 

@ 清洗 中 心 根据 引流 策略 将 去 往 被 攻击 IP 地 址 的 流量 引流 到 清洗 中 心中 。 
@ 清洗 中 心 将 清洗 后 的 正常 流量 回 注 到 网 络 中 。 

@ 清洗 中 心 上 报 攻击 日 志 到 管理 中 心 ， 管 理 中 心 负责 呈现 流量 清洗 效果 。 


8 华为 Anti-DDoS 技术 漫谈 


1.2.2 ”动态 流量 基线 技术 


常见 的 DDoS 攻击 主要 是 大 流量 的 攻击 , 因此 检测 中 心 的 主要 工作 是 分 类 统计 流量 ， 
然后 和 预先 配置 的 检测 阐 值 进行 比较 ， 如 果 流 量 超过 检测 阔 值 则 认为 流量 发 生 异 常 ， 需 
要 进行 清洗 。 由 此 可 见 ， 检 测 是 否 准确 主要 取决 于 检测 阔 值 的 配置 是 否 合理 ， 而 其 合理 
性 完全 取决 于 网 络 安全 工程 师 的 经 验 。 不 同 网 络 流量 的 模型 不 同 ， 因 此 ， 检 测 阔 值 的 配 
置 没 有 统一 的 经 验 值 可 循 。 既 然 检测 阔 值 这 么 重要 ， 手 工 配置 又 这 么 艰难 ， 而 检测 设备 
又 永远 在 线 ， 是 否 有 一 种 技术 可 以 自动 学 习 网 络 的 各 种 流量 阔 值 呢 ? 因此 ， 动 态 流 量 基 
线 技 术 应 运 而 生 。 

华为 Anti-DDoS 系统 可 周期 性 地 统计 学 习 用 户 网 络 流量 ， 其 将 学 习 到 的 周期 内 每 种 
流量 模型 的 最 大 值 作为 基本 值 , 然后 再 结合 容忍 度 〈 以 防止 流量 瞬时 的 抖动 引起 的 误 判 ) 
计算 出 最 终 的 攻击 检测 阐 值 。 当 用 户 网 络 流量 模型 发 生变 化 时 ， 流 量 模 型 学 习 结 果 会 自 
动 被 调整 ， 相 应 的 检测 阔 值 也 会 自动 被 调整 。 


1.2.3” 逐 流 与 逐 包 检测 技术 


华为 Anti-DDoS 方案 的 检测 中 心 有 逐 流 检测 和 逐 包 检测 两 种 检测 方式 。 简 单 来 说 ， 
逐 流 检测 是 抽样 检测 ， 而 逐 包 检 测 是 全 流量 的 检测 ， 不 同 的 检测 形态 可 以 对 应 不 同 的 
场景 。 

1， 逐 流 检 测 

逐 流 检测 是 指 检测 中 心 收集 、 分 析 网 络 中 路 由 交换 设备 发 出 的 Netflow 日 志 ， 并 根 

据 Netflow 日 志 来 检测 DDoS 攻击 。Netflow 日 志 是 流量 的 抽样 统计 结果 ， 它 主要 包含 报 
文 五 元 组 、 长 度 、TCP Flag、 流 量 统计 信息 〈 包 速率 、 带 宽 ) 等 。 由 于 Netflow 日 志 不 
包含 应 用 层 信 息 , 因此 它 无 法 检测 应 用 层 攻 击 。 逐 流 检测 适合 超大 流量 攻击 检测 的 场景 ， 
例如 ， 城 域 网 或 运营 商 网 络 。 

2.， 逐 包 检 测 

逐 包 检测 是 指 检测 中 心 会 逐一 地 统计 和 分 析 所 有 报 文 ， 实 现 100% 全 流量 检测 。 因 
此 逐 包 检测 除了 能 分 析 报 文 的 五 元 组 、 长 度 、TCP Flag， 流 量 统计 信息 外 ， 还 能 分 析 报 
文 3 一 7 层 的 信息 ， 包 括 TCP 会 话 行为 、 应 用 层 协 议 信息 (HTTP、HTTPS、DNS、SIP) 
和 访问 行为 等 。 逐 包 检 测 适 合 更 精细 化 的 检测 与 防护 场景 ， 例 如 ， 数 据 中 心 边界 或 
Anti-DDoS 运营 场景 。 

华为 Anti-DDoS 方案 支持 丰富 的 逐 包 检测 功能 ， 可 以 很 好 地 应 对 来 自 应 用 层 的 攻击 。 
其 具有 5 种 统计 维度 : qps、pps、bit/s、cps、TCP-Ratio。 

GD qps: qps (Queries Per Second) 指定 触发 攻击 防范 的 HTTP 报 文 速率 的 阐 值 ， 统 
计 除 SYN、SYN-ACK、ACK 以 外 的 其 他 HTTP 报 文 。 

@ pps: pps (Packets Per Second) 是 指 每 秒 发 送 的 报 文 数 。 

@) bit/s: bit/s (Byte Per Second) 是 指 每 秒 发 送 的 字 节 数 。 

@ cps: cps (Connections Per Second， 每 秒 连接 数 ) 即 新 建 速率 。 

@ TCP-Ratio: SYN 报 文 与 (SYN+ACK) 报 文 的 比例 。 

同时 ， 华 为 Anti-DDoS 还 有 8 种 协议 族 : IP、TCP、UDP、ICMP、HTTP、HTTPS、 
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DNS 和 SIP。38 种 协议 状态 : TCP Flags、TCP connections、TCP window size、HTTP 
connections、HTTP URI、HTTP Host、SSL Renegotiating、DNS query、DNS domain 等 。 
62 种 流量 模型 : TCP SYN pps、UDP packet bit/s、DNS pps、SIP pps、ICMP pps、TCP 
FIN pps、TCP ACK pps 等 。 


1.2.4 ”多 层 过 滤 防 御 技 术 

华为 Anti-DDoS 方案 采用 精细 化 多 层 过 滤 防 御 技术 ， 不 仅 能 够 有 效 检测 和 过 滤 超 出 
闵 值 的 流量 ， 还 能 够 检测 并 过 滤 精 巧 的 小 流量 攻击 例如 ， 慢 速 攻击 、DNS 缓存 投 毒 攻 

击 等 ) 和 单 包 攻 击 〈 主 要 是 畸形 和 控制 报 文 攻击 )， 如 图 1-7 所 示 。 


a ry tena Bt ty i nad 
协议 栈 威胁 具有 特征 的 ”传输 协议 “应 用 协议 ”异常 连接 ” 慢 速 攻击 。 突 发 流量 ”正常 流量 
DoS/DDoS ” 层 威 胁 层 威 胁 威胁 








0 
aa Be a 
ee mep i ew sse 


报 文 合法 性 检查 特征 过 滤 ”虚假 源 认证 应 用 层 认证 会 话 分 析 ”行为 分 析 智能 限 速 
图 1-7 多 层 过 滤 防 御 技 术 


多 层 过 滤 防 御 技 术 是 华为 Anti-DDosS 方案 的 核心 技术 ， 下 面 我 们 一 起 来 学 习 每 层 能 
够 过 滤 的 攻击 以 及 基本 实现 原理 。 

1. 报 文 合法 性 检查 

报 文 合法 性 检查 是 基于 RFC 检查 报 文 合法 性 的 , 主要 检测 或 过 滤 利 用 协议 栈 漏洞 的 
畸形 报 文 攻击 。 这 一 层 类 似 于 空气 净化 器 中 的 初 滤 网 ， 主 要 检测 和 过 滤 大 部 分 畸形 报 文 
攻击 和 特殊 控制 报 文 攻击 。 

2.， 特征 过 滤 

特征 过 滤 是 基于 报 文 特征 来 检测 和 过 滤 攻 击 的 ， 它 被 用 于 防御 有 特征 的 攻击 ， 包 括 
UDP flood、UDP 类 反射 放大 攻击 (包括 DNS 反射 放大 、NTP 反射 放大 等 )。 特 征 也 被 
称 作 指纹 ，UDP 类 攻击 流量 通常 都 具有 一 定 的 特征 。UDP 报 文 的 数据 段 、 源 IP 地 址 、 
源 端口 、 目 的 IP 地 址 、 目 的 端口 都 可 能 隐藏 着 攻击 报 文 的 特征 。 例 如 ，UDP 反射 放大 
攻击 一 般 都 是 基于 特定 的 UDP 端口 ， 比 如 现在 比较 常见 的 NTP、DNS、SSDP 反射 放大 
攻击 ， 分 别 对 应 UDP 的 123、53、1900 端口 。 

华为 Anti-DDoS 方案 支持 静态 指纹 和 动态 指纹 。 

(1) 静态 指纹 

静态 指纹 是 已 知 的 攻击 特征 ， 系统 已 经 预先 定义 好 了 攻击 特征 的 参数 ， 并 将 其 保 
存在 过 滤器 模板 中 。 例 如 ，Anti-DDoS 系统 提供 了 14 种 常见 的 UDP 反射 放大 攻击 的 
过 滤器 模板 。Anti-DDoS 系统 会 检测 UDP 报 文 的 特征 ， 如 果 UDP 报 文 的 特征 与 过 滤 
器 模板 中 的 攻击 特征 匹配 ， 系 统 会 丢弃 此 UDP 报 文 ， 并 将 攻击 源 加 入 黑 名 单 。 

华为 安全 智能 云 中 心 负责 Anti-DDoS 设备 的 静态 指纹 的 维护 和 升级 ， 保 证 设备 能 
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快速 应 对 各 类 新 型 的 DDoS 攻击 威胁 。 

(2) 动态 指纹 

动态 指纹 是 Anti-DDoS 系统 自动 学 习 获得 的 特征 。 动 态 指纹 学 习 就 是 系统 对 一 些 有 
规律 的 UDP 攻击 报 文 负载 进行 识别 的 过 程 ， 系 统 自动 提取 出 相同 的 内 容 作 为 指纹 特征 ， 
然后 把 这 个 提取 的 特征 作为 过 滤 条 件 ， 自 动 应 用 并 进行 过 滤 。 例 如 ， 一 些 攻击 工具 发 起 的 
UDP 攻击 ， 攻 击 报 文通 常 都 拥有 相同 的 字段 ， 比 如 都 包含 某 一 个 字符 串 ， 或 整个 报 文 内 
容 一 致 ， 这 些 相 同 的 字段 会 被 系统 提取 出 来 作为 指纹 特征 。 

华为 Anti-DDoS 方案 的 动态 指纹 学 习 过 程 可 以 有 效 地 学 习 到 新 型 DDoS 攻击 的 指纹 
特征 ， 而 静态 指纹 又 被 预 置 了 流行 的 僵尸 工具 的 攻击 特征 ， 因 此 华为 Anti-DDoS 方案 可 
以 有 效 地 防护 各 种 新 型 DDoS 攻击 ， 保 护 业 务 的 可 用 性 。 

3. 虚假 源 认 证 

虚假 源 认证 用 于 防范 虚假 源 发 起 的 传输 层 攻 击 ， 包 括 SYN flood、SYN-ACK flood、 
DNS request/reply flood 攻击 等 。 

SYN flood 攻击 是 虚假 源 攻击 的 典型 代表 ， 此 类 攻击 的 最 显著 的 特点 是 海量 变 
源 或 变 源 端口 的 报 文 被 发 送 到 受害 主机 ， 耗 尽 受 害 主 机 资源 或 网 络 资源 。 
Anti-DDoS 方案 对 此 的 应 对 方法 简单 而 言 就 是 : Anti-DDoS 设备 会 作为 “中 介 ” 回 
应 源 发 出 的 SYN 报 文 ， 如 果 源 是 真实 的 主机 ，Anti-DDoS 设备 则 会 继续 回应 RST 
报 文 ， 如 果 源 是 攻击 者 构造 的 虚假 源 ，Anti-DDoS 设备 则 无 法 对 其 响应 ， 如 图 1-8 
所 示 。 


诈 育 司 攻击 目标 























图 1-8 虚假 源 认证 


DNS request flood 和 DNS reply flood 的 防御 原理 也 是 类 似 的 ，Anti-DDoS 系统 会 问 
源 客户 端 回应 DNS Reply 《Request) 报 文 ， 然 后 看 客户 端 是 否 能 正常 回应 。 

4. 应 用 层 认证 

应 用 层 认证 用 于 防范 虚假 源 发 起 的 应 用 层 攻 击 ， 包 括 HTTP get/post flood、HTTPS 
flood、SIP flood 攻击 等 。 

应 用 层 源 认证 的 防御 原理 与 传输 层 的 防御 原理 有 相似 之 处 。 应 用 层 源 认证 也 是 
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Anti-DDoS 系统 作为 “中 介 ” 回 应 源 客户 端的 请 求 , 并 要 求 源 客 户 端 重 定向 到 新 的 URL 
(例如 子 域名 ) 或 者 输入 验证 码 ， 以 此 来 验证 客户 端的 真实 性 。 真 实 客户 端的 浏览 器 可 
以 自动 完成 重 定 向 过 程 或 由 用 户 输入 验证 码 ， 通 过 认证 ; 而 虚假 源 或 者 一 般 的 攻击 工 
其 没有 完整 的 HTTP 协议 栈 ， 不 支持 自动 重 定 向 功能 ， 更 无 法 输入 随机 的 验证 码 ， 
此 无 法 通过 认证 ， 如 图 1-9 所 示 。 























HTTP 请 求 : 
HTTP 回应 : _HTTP 回应 : 请 输入 验证 码 ” 
“正确 输入 验证 码 。 








攻击 目标 
HTTP 请 求 : 
HTTP 回应 : HTTP 回应 : 请 输入 验证 码 
有 加 应 回应 
图 1-9 验证 码 认证 
5. 会 话 分 析 
会 话 分 析 基 于 会 话 检 查 并 防范 会 话 类 攻击 ， 如 ACK flood、FIN/RST flood、DNS 组 
存 投 毒 攻 击 等 。 


ACK、FIN、RST 等 报 文 都 是 TCP 交互 过 程 中 的 后 续 报 文 ， 因 此 Anti-DDoS 系统 在 
防御 这 类 报 文 的 泛 洪 攻击 时 ， 可 以 效仿 防火 墙 对 这 些 报 文 进行 会 话 匹 配 检 查 。 真 实 客户 
端 发 出 的 正常 ACK、FIN、RST 报 文 一 定 能 够 匹配 Anti-DDoS 系统 上 的 会 话 ， 因 为 之 前 
Anti-DDoS 系统 已 经 为 他 们 的 首 包 SYN 报 文 建立 了 会 话 ， 如 图 1-10 所 示 。 


《9 为 SYN 报 文 建立 会 话 








ACK 匹配 会 话 允 许 通 过 








a 
正常 访问 
图 1-10 真实 客户 端 会 话 分 析 结果 

如 果 是 攻击 者 发 起 的 ACK、FIN、RST flood 攻击 ， 这 些 报 文 将 因 无 法 匹配 Anti-DDoS 
系统 上 的 会 话 而 被 丢弃 ， 如 图 1-11 所 示 。 

DNS 缓存 投 毒 攻 击 会 算 改 DNS 缓存 服务 器 中 的 域名 与 IP 地 址 的 对 应 关系 ， 导 致 用 
户 访问 钓鱼 或 恶意 网 站 。Anti-DDoS 系统 的 防御 原理 是 为 最 初 的 DNS 请 求 报 文 建立 会 
然后 检查 后 续 的 回应 报 文 是 否 能 够 匹配 会 话 。 
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9 







大 量 ACK 报 文 
没有 匹配 会 话 被 阻 断 


图 1-11 虚假 客户 端 会 话 分 析 结 果 











攻击 者 


6. 行为 分 析 

僵尸 网 络 发 起 的 攻击 流量 和 用 户 访问 业务 流量 行为 不 同 ， 用 户 访问 流量 具有 突 发 
性 、 访 问 资源 分 散 的 特点 ;而 僵尸 网 络 攻击 流量 的 最 大 特征 是 访问 频率 恒定 、 访 问 资源 
固定 、 访 问 行为 模式 固定 。 因 此 ， 我 们 可 以 基于 行为 分 析 来 防御 各 种 慢 速 攻击 。 

例如 ，HTTP 慢 速 攻击 的 行为 是 攻击 者 在 建立 了 与 HTTP 服务 器 的 连接 后 ， 长 时 间 
保持 连接 不 释放 。 系 统 可 以 识别 分 析出 这 种 长 期 占用 HTTP 连接 的 行为 ， 从 而 对 其 进行 
阻 断 ， 如 图 1-12 所 示 。 


攻击 目标 





























未 完 待 续 区 

我 等 待 

未 完 待 续 Wd 

我 等 待 

-一 -未完 待 续 
ff 
服务 器 资源 耗 尽 
图 1-12 行为 分 析 


7. 智能 限 速 

智能 限 速 采 用 各 类 协议 精细 化 限 速 使 得 流量 都 处 于 安全 的 带宽 范围 。 流 量 整 形 的 目 
的 是 保证 大 于 阔 值 的 流量 都 会 被 检测 出 来 且 被 调整 到 合理 的 数值 ， 即 使 这 些 流量 在 前 面 
的 检测 中 没有 出 现任 何 问题 。 
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1.2.5 ”大 数据 信誉 体系 


华为 Anti-DDoS 方案 还 支持 大 数据 信誉 体系 ， 可 以 使 得 系统 的 检测 和 处 理 更 高 效 。 
信誉 体系 包括 全 球 僵 尸 网 络 卫 信誉 库 和 本 地 业务 访问 IP 信誉 库 。 例 如 ， 检 测 中 心 发 现 
流量 来 自 僵尸 网 络 的 卫 ， 那 么 他 将 直接 上 报 异 常 给 管理 中 心 ， 而 清洗 中 心 在 引流 后 ， 会 
快速 过 滤 掉 此 僵尸 IP 发 送 的 报 文 ， 并 将 其 加 入 黑 名 单 。 | 

Q@ 全 球 僵尸 网 络 . IP 信誉 库 是 由 华为 安全 智能 云 中 心 收集 和 更 新 的 ， 目 前 它 已 拥有 
500 万 个 僵尸 卫 ， 并 且 每 日 动态 更 新 其 内 容 。 

@ 本 地 业务 访问 卫 信誉 库 是 Anti-DDoS 系统 在 防护 网 络 没 有 遭 到 攻击 时 ， 记 忆 并 
学 习 到 的 合法 流量 源 的 人 -地址 。 检 测 中 心 将 不 会 检测 本 地 亚 务 访问 IP 信誉 库 中 的 地 址 
发 出 的 流量 ， 这 充分 保证 了 Anti-DDoS 系统 不 会 影响 网 络 中 常用 的 正常 业务 访问 ， 提 升 
了 用 户 体验 。 


1.2.6 ”Anti-DDoS 方案 运营 


随 着 云 数 据 中 心 的 发 展 ， 针 对 云 数据 中 心 和 来 自 云 数据 中 心 内 部 的 DDoS 攻击 越 来 
越 多 。 因 此 Anti-DDoS 方案 必须 具备 一 定 的 运营 能 力 ， 它 能 够 提供 精细 化 的 防护 并 提供 
DDoS 防护 的 出 租 能 力 。 

华为 Anti-DDoS 方案 支持 多 种 精细 化 的 防护 策略 ， 客 户 可 以 为 不 同 的 防护 对 象 设 置 
不 同 的 防护 策略 ， 从 而 实现 对 防护 对 象 的 精细 化 防护 。 例如， 客户 可 以 为 DNS 服务 器 配 
置 针 对 DNS 业务 的 防护 策略 , 为 HTTP 服务 器 配置 针对 HTTP 业务 的 防护 策略 。 防护 对 
象 是 一 组 被 防护 的 目标 IP 地 址 ， 可 以 是 多 个 IP/ 掩 码 定义 的 IP 地址 段 。 防 护 策略 和 防护 
对 象 都 是 在 ATIC 上 被 配置 的 。 

精细 化 的 防护 策略 和 海量 的 防护 对 象 为 Anti-DDoS 系统 的 运营 提供 了 基础 。 客 户 进 
行 Anti-DDoS 运营 、 将 Anti-DDoS 服务 进行 出 租 时 ， 可 以 为 不 同 的 租户 设 定 防护 对 象 和 
配置 防护 策略 。Anti-DDoS 方案 还 具有 租户 自助 功能 ， 租 户 可 以 通过 Portal 服务 器 自己 


完成 防护 对 象 和 防护 策略 的 配置 。 
Anti-DDoS 系统 还 提供 了 丰富 的 报表 功能 ， 既 方便 管理 员 阅 读 分 析 ， 又 适用 于 方 
案 的 运营 。 


报表 功能 支持 防护 对 象 、 系 统 两 级 管理 概念 的 业务 数据 查询 和 报表 呈现 ， 支 持 报表 
手工 生成 ， 手 工 生成 报表 时 ， 可 手工 指定 数据 的 时 间 段 ， 支持 以 excel、pdf 格式 导出 报 
表 ; 报表 粒度 包括 日 报 、 周 报 、 月 报 、 年 报 。 


1.3 ”华为 云 清洗 方案 与 云 清洗 联盟 


华为 为 了 适应 网 络 云 化 的 潮流 ， 推 出 了 更 加 高 端的 华为 云 清洗 解决 方案 。 同 时 ， 为 
了 共同 对 抗 DDoS 攻击 ， 华 为 倡导 组 织 了 云 清洗 联盟 。 

那么 华为 Anti-DDoS 方案 、 云 清洗 方案 和 云 清洗 联盟 之 间 到 底 有 什么 关系 呢 ? 本 节 
我 们 就 来 一 探究 竟 。 
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1.3.1 Anti-DDoS 遇 到 的 困难 


前 文 我 们 分 析 了 DDoS 攻击 呈现 出 攻击 流量 逐年 上 升 的 趋势 , 随 之 而 来 的 是 企业 
防御 越 来 越 困 难 ， 对 抗 一 次 攻击 可 能 需要 几 个 小 时 甚至 几 天 的 时 间 。 同 时 ， 为 了 应 对 
大 流量 攻击 ， 企 业 每 年 需要 购置 更 高 性 能 的 人 硬件 设备 并 扩充 运 维 人 员 。 与 此 同时 ， 由 
于 攻击 的 偶然 性 和 不 确定 性 , 企业 往往 需要 投入 高 昂 的 硬件 资源 ,， 这样 是 不 具有 经 济 
适用 性 的 。 

因此 , 越 来 越 多 的 企业 选择 了 将 对 抗 DDoS 攻击 的 任务 托管 或 部 分 托管 给 MSSP( 安 
全 托管 服务 提供 商 ) 来 处 理 ， 也 就 是 说 由 云端 来 处 理 DDoS 攻击 。MSSP 通常 拥有 更 强 
大 的 DDoS 攻击 处 理 能 力 ， 包 括 更 强大 的 Anti-DDoS 系统 ， 更 专业 的 安全 运 维 团 队 等 。 

MSSP 处 理 客户 DDoS 攻击 的 流程 如 图 1-13 所 示 。 






一 td 


\ ‘a @ 回 注 - | 
Es ; Ns 
{ pe 





内 部 网 络 
图 1-13 MSSP 处 理 客户 DDoS 攻击 流程 


QD 客户 本 地 的 Anti-DDoS 系统 发 现 攻击 流量 达到 本 地 处 理 能 力 上 限时 ， 会 给 MSSP 
的 SOC 安全 运 维 中 心 系 统 发 送信 令 ， 向 MSSP 申请 处 理 DDoS 攻击 。MSSP 的 SOC 
收 到 消息 后 ， 会 下 发 清洗 指令 给 清洗 中 心 。 

@) 清洗 中 心 会 将 客户 的 攻击 流量 引导 到 自身 并 进行 清洗 。 

@ 清洗 中 心 清洗 完成 后 ， 会 将 清洗 后 的 流量 回 注 给 客户 ， 并 将 清洗 结果 反馈 给 SOC。 

由 SOC 收 到 反馈 结果 后 ， 会 判断 攻击 是 否 结束 。 如 果 其 认为 攻击 结束 ， 则 会 通知 
清洗 中 心 结束 本 次 清洗 ， 并 反馈 清洗 结果 和 清洗 报告 给 客户 。 


1.3.2 ”传统 MSSP 面临 的 问题 
MSSP 解决 DDoS 攻击 的 问题 看 似 很 方便 ， 但 也 存在 问题 。 
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当今 僵尸 网 络 具有 全 球 分 布 的 特点 ， 跨 越 大 洲 的 僵尸 网 络 大 量 存在 。 这 就 导致 在 同 
一 次 DDoS 攻击 事件 中 ， 攻 击 流量 来 源 呈现 全 球 分 布 性 的 特点 。 

例如 ， 客 户 的 MSSP 只 在 亚洲 部 署 了 清洗 中 心 ， 而 黑客 的 攻击 可 能 来 自 于 较 远 的 其 
他 大 洲 。 这 样 亚洲 的 清洗 中 心 在 引流 时 ， 会 长 距离 迁移 攻击 流量 ， 期 间 可 能 会 造成 沿途 
网 络 管道 拥塞 的 问题 。 

由 于 大 量 传统 的 MSSP 一 般 只 部 署 一 两 个 清洗 中 心 ， 因 此 ， 大 量 的 攻击 流量 会 在 洲 
际 网 络 间 迁 移 , 这 就 在 一 定 程度 上 造成 了 全 球 一 级 网 络 的 拥塞 , 使 一 级 网 络 充斥 着 DDoS 
攻击 流量 。 


1.3.3 ”华为 云 清洗 方案 


为 了 解决 传统 MSSP 面临 的 问题 ， 使 MSSP 能 够 更 好 地 为 客户 提供 DDoS 云 清洗 服 
务 ， 华 为 推出 了 云 清 洗 解 决 方案 。 

华为 云 清洗 解决 方案 主要 由 本 地 清洗 中 心 、SOC (Security Operation Center， 安 全 运 
维 中 心 ) 和 全 球 的 清洗 中 心 组 成 。 本 地 清洗 中 心 主要 处 理 企 业 本 地 普通 级 别 的 DDoS 流 
量 攻击 。 当 企业 遭遇 大 流量 DDoS 攻击 时 ， 本 地 清洗 中 心 会 自动 识别 并 触发 云 信 令 ， 请 
求 华为 SOC 调度 各 地 的 云 清洗 中 心 近 源 清洗 DDoS 攻击 。 

华为 云 清洗 解决 方案 中 的 本 地 清洗 中 心 和 全 球 清洗 中 心 其 实 都 可 以 使 用 华为 
Anti-DDoS 方案 。 本 地 清洗 中 心 可 以 选择 AntiDDoS1600 系列 产品 ， 全 球 清洗 中 心 可 以 
选择 AntiDDoS8000 系列 产品 。 

华为 云 清 洗 解 决 方案 的 云 清 洗 过 程 如 下 。 

Q 客户 本 地 的 清洗 中 心 发 现 攻击 流量 达到 本 地 处 理 能 力 上 限时 , 会 通过 ATIC 发 送 
信 令 给 华为 SOC， 向 华为 SOC 求助 。 

@ 华为 SOC 收 到 求助 后 ， 会 向 距离 攻击 源 最 近 的 空闲 全 球 清洗 中 心 下 发 清洗 指令 ， 
要 求全 球 清洗 中 心 就 近 清洗 攻击 源 的 攻击 流量 。 

@) 全 球 清洗 中 心 收 到 华为 SOC 的 清洗 指令 后 , 会 将 就 近 攻 击 源 的 流量 引导 到 自身 的 
清洗 中 心 进行 清洗 。 清 洗 中 心 会 将 清洗 后 的 流量 回 注 给 客户 ， 并 将 清洗 结果 反馈 给 华为 
SOC。 由 于 实现 了 攻击 流量 的 就 近 清洗 ， 攻 击 流量 的 迁移 距离 很 近 ， 而 且 不 会 跨越 洲际 
网 络 ， 因 此 基本 不 会 造成 沿途 网 络 拥塞 和 一 级 网 络 拥塞 。 

@ 华为 SOC 收 到 各 清洗 中 心 发 出 的 结果 后 ， 会 判断 攻击 是 否 结束 。 如 果 它 认 
为 攻击 结束 ， 则 会 通知 各 清洗 中 心 停止 本 次 清洗 ， 并 将 清洗 结果 和 清洗 报告 反馈 给 
客户 < 

通过 上 述 过 程 我 们 发 现 华 为 云 清洗 方案 的 最 大 特点 在 于 清洗 中 心 遍 布 全 球 。 确 实 ， 
目前 华为 已 在 全 球 部 署 了 10 多 家 清洗 中 心 。 全 球 部 署 的 清洗 中 心 不 仅 保证 了 方案 能 够 实 
现 对 全 球 攻击 流量 的 近 源 清洗 , 而 且 全 球 清 洗 中 心 的 联合 作业 能 提供 超过 2TB 的 强大 清 
洗 能 

除了 清洗 中 心 遍 布 全球 外 ， 华 为 云 清 洗 方案 还 有 两 大 特点 。 

(1) 能 够 实现 分 钟 级 响应 ， 减 小 攻击 损失 

在 传统 MSSP 运营 模式 下 ， 客 户 需 要 通过 抓 包 等 方法 识别 出 大 流量 攻击 ， 然 后 通过 
电话 、 邮 件 等 方式 通知 SOC 调度 清洗 资源 。 整 个 过 程 大 约 需要 2 个 小 时 ,效率 低下 。 在 
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华为 云 清洗 方案 中 ， 本 地 清洗 中 心 可 以 实时 识别 大 流量 DDoS 攻击 ， 上 自动 触发 云 信 令 通 
知 SOC 执行 云 清洗 操作 。SOC 会 智能 调度 当前 状态 空闲 的 清洗 中 心 ， 依 照 近 源 清 洗 的 
原则 清洗 攻击 流量 ， 整 个 攻击 响应 过 程 无 需 人 工 干预 ， 不 超过 5 分 钟 即 可 完成 。 

(2) 安全 服务 化 交付 ， 降 低 运 维 成 本 

客户 只 需 在 网 上 填写 自己 的 需求 ， 之 后 就 可 以 快速 部 署 攻 击 流量 清洗 网 络 ， 他 
们 还 可 以 根据 自己 的 流量 清洗 要 求 ， 购 买 相 应 的 服务 包 ， 按 月 付费 ， 灵 活 简单 。 另 
外 ， 华 为 的 7x24 小 时 的 专家 团队 会 帮助 客户 处 理 各 种 紧急 突 发 的 攻击 情况 ， 客 户 
再 也 不 用 为 逐年 增加 的 硬件 成 本 和 人 力 投 入 而 烦恼 。 

华为 云 清洗 解决 方案 的 特点 完美 地 弥补 了 本 地 Anti-DDoS 方案 和 传统 MSSP 的 
不 足 。 


1.3.4 ” 云 清洗 联盟 


“ 云 清洗 联盟 ”由 在 整合 全 球 运 营 商 、MSSP 和 IDC 的 资源 ， 构 建 一 个 云端 的 “DDoS 
防御 生态 系统 ”。 

“ 云 清 洗 联 盟 ” 会 通过 华为 云 SOC 统一 管理 和 调度 联盟 内 的 DDoS 清洗 资源 ， 为 客 
户 提供 强大 的 DDoS 近 源 云 清洗 服务 ， 同 时 还 可 为 客户 解决 上 游 管道 的 网 络 拥塞 问题 ， 
保护 上 游 带 宽 。 

一 个 云 清洗 联盟 的 运作 方式 过 程 如 下 。 

Q@ 例如 ，MSSP1 和 MSSP2 都 是 云 清 联盟 的 成 员 ， 当 MSSP1 客户 本 地 的 Anti-DDoS 系 
统 发 现 攻击 流量 达到 本 地 处 理 能 力 上 限时 ， 系 统 会 发 送信 令 给 MSSP1 的 SOC 系统 ， 向 
MSSP1 的 SOC 系统 申请 处 理 DDoS 攻击 。 

@ MSSP1 的 SOC 系统 收 到 信 令 后 ， 分 析 发 现 攻击 流量 来 自 两 个 不 同 大 洲 的 网 络 。 
然而 ，MSSP1 只 在 其 中 一 个 大 洲 网 络 部 署 了 清洗 中 心 ， 因 此 ， 对 来 自 未 部 署 清洗 中 心 大 
洲 的 攻击 流量 ，MSSP1 的 SOC 系统 会 上 报 云 信 令 给 华为 云 SOC， 申 请 云 清 联 盟 中 的 清 
洗 中 心 进行 近 源 清洗 。 与 此 同时 ， 对 来 自 部 署 了 清洗 中 心 大 洲 的 攻击 流量 ，MSSP1 的 
SOC 系统 也 会 调度 自己 所 部 署 的 清洗 中 心 进行 引流 清洗 。 

@ 华为 云 SOC 收 到 MSSP1 的 请 求 信 令 后 ， 会 根据 调度 算法 选择 拥有 所 需 清洗 中 
心 的 MSSP2 来 处 理 此 请 求 。 华 为 云 SOC 会 给 MSSP2 的 SOC 下 发 清洗 指令 ,要 求 MSSP2 
的 SOC 调度 距离 攻击 源 最 近 的 清洗 中 心 ， 对 来 自 MSSP1 未 部 署 清洗 中 心 大 洲 的 攻击 流 
量 进行 引流 和 清洗 。 

(@_MSSP2 的 SOC 收 到 清洗 指令 后 , 会 调度 清洗 中 心 对 来 自 MSSP1 未 部 署 清洗 中 心 
大 洲 的 攻击 流量 进行 引流 和 清洗 。 

@ MSSP1 和 MSSP2 的 清洗 中 心 引流 清洗 完成 后 ， 会 将 清洗 后 的 流量 回 注 给 
千 户 ; 

在 上 述 过 程 中 ， 我 们 发 现 云 清洗 联盟 成 员 MSSP1 借助 联盟 为 他 的 客户 提供 了 面向 
全 球 的 DDoS 云 清 洗 服务 ， 实 现 了 对 客户 攻击 流量 高 效 快 捷 的 近 源 清洗 。 而 云 清洗 联盟 
成 员 MSSP2 由 于 为 MSSP1 贡献 了 DDoS 清洗 服务 , 也 将 获得 MSSP1 的 分 成 收益 。MSSP1 
和 MSSP2 通过 云 清洗 联盟 实现 了 双赢 的 结果 。 

可 见 ， 加 入 云 清洗 联盟 的 企业 既 可 以 为 自己 的 客户 提供 面向 全 球 的 DDoS 云 清洗 服 
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务 ， 还 可 以 通过 为 其 他 成 员 提供 清洗 服务 而 获得 收益 ， 同 时 还 能 提升 自己 在 全 球 DDoS 
防护 领域 的 品牌 价值 和 影响 力 。 

另外 ， 从 长 远 来 看 ，MSSP 加 入 云 清 联 盟 可 以 将 自身 安全 服务 能 力 展现 给 更 多 最 终 
客户 ， 获 得 更 多 市 场 机 会 ， 还 能 够 及 时 获得 全 球 DDoS 攻击 态势 、 网 络 攻 击 数 据 和 趋势 
分 析 ， 以 实现 安全 服务 能 力 的 持续 提升 。 


1.4 华为 Anti-DDoS 产品 集 


互联 网 和 物 联 网 的 迅猛 发 展 使 我 们 受益 颇 深 。 网 络 资源 在 一 定 程 度 上 已 成 为 孕育 
DDoS 攻击 的 温床 。 

在 10 余年 的 被 攻击 中 ， 华 为 Anti-DDoS 解决 方案 已 进化 为 可 以 精准 防御 100 多 种 
应 用 型 攻击 的 “产品 集 ”。 


1.4.1 解决 方案 组 成 


华为 自主 研发 的 检测 中 心 、 清 洗 中 心 、ATIC 实现 了 Anti-DDoS 解决 方案 的 核心 保 
障 能 力 。 其 中 ，Anti-DDoS 解决 方案 是 指 检测 中 心 和 清洗 中 心 两 部 分 ， 如 图 1-14 所 示 。 






的 。 上 报告 警 、 日 志 


清洗 中 心 
图 1-14 Anti-DDoS 解决 方案 组 成 


1. 检测 中 心 

检测 中 心 负责 检测 流量 ， 发 现 攻 击 后 上 报 管理 中 心 ， 管 理 中 心 下 发 引流 策略 至 清洗 
中 心 ， 清 洗 中 心 进行 引流 清洗 。 

2. 清洗 中 心 

清洗 中 心 主要 根据 管理 中 心 下 发 的 策略 进行 引流 、 清 洗 ， 并 把 清洗 后 的 正常 流量 回 
注 ， 同 时 将 这 些 动作 记录 在 日 志 中 上 报 管理 中 心 。 清 洗 中 心 提 供 多 种 DDoS 流量 清洗 手 
段 ， 可 以 准确 识别 正常 流量 ， 清 洗 各 类 异常 流量 ， 包 括 流量 型 攻击 、 应 用 层 攻击 、 扫 描 
窥探 型 攻击 及 畸形 包 攻击 等 。 清 洗 中 心 同时 具备 检测 中 心 的 功能 ， 当 业务 对 检测 清洗 性 
能 要 求 较 低 时 可 只 部 署 清洗 中 心 。 
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3. 管理 中 心 
管理 中 心 (Abnormal Traffic Inspection and Control System，ATIC) 负责 检测 中 心 和 
清洗 中 心 的 统一 管理 , 是 Anti-DDoS 解决 方案 的 管理 中 枢 。 其 具有 设备 管理 、 策 略 管理 、 
性 能 管理 、 告 警 管理 、 报 表 管 理 等 功能 。 
1.4.2 ”设备 型 号 
Anti-DDoS 设备 型 号 如 图 1-15 所 示 。 
高 端 设 备 


= 图 
型 号 


AntD Doe0n0 








AntiDDoS8160 


AntiDDos8030 
打从 测 业务 板 


揪 检 测 业 务 板 。 。。。 插 检 测 业 










检测 中 心 ， 





清洗 中 心 播 清洗 业务 板 清 ; 插 清洗 业务 板 
















党 明 。 检测 和 清洗 业务 板 的 设备 称 为 





Bd | | 
型 号 AntiDDoS AntiDDoS AntiDDoSs © AntiDDoS . AntiDDoS 
1520 | 1550 1500-D | 1650 1680 


i 
清洗 中 心 







图 1-15 Anti-DDoS 设备 型 号 


由 图 1-15 可 知 ， 华 为 Anti-DDoS 产品 主要 包括 AntiDDoS1000 和 AntiDDoS8000 系 
列 ， 涵 盖 低 、 中 、 高 端 设备 ， 型 号 齐全 、 功 能 丰富 ， 可 全 方位 满足 用 户 各 种 需求 。 

1. AntiDDoS1500 系列 产品 介绍 

在 AntiDDoS1500 系列 产品 中 AntiDDoS1500-D 为 检测 设备 ，AntiDDoS1520/Anti 
DDoS1550 为 清洗 设备 。 

2. AntiDDoS1600 系列 产品 介绍 

AntiDDoS1600 系列 产品 使 AntiDDoS1000 系列 产品 摆脱 了 靠 设 备 型 写 决定 设备 类 型 
的 规定 ， 实 现 了 通过 命令 行 由 清洗 设备 到 检测 设备 的 切换 。 

华为 的 AntiDDoS1600 是 企业 级 的 DDoS 防护 系统 ， 它 可 以 针对 中 小 型 企业 、 政 府 、 
金融 机 构 和 ICP 服务 商 的 关键 在 线 业 务 系统 提供 专业 级 防护 方案 。 

3. AntiDDoS8000 系列 产品 介绍 

AntiDDoS8000 系列 具备 全 流量 逐 包 检 测 、60 多 种 流量 模型 分 析 、 全 面 的 信誉 体系 、 
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T 级 防护 性 能 、 秒 级 响应 速度 、100 多 种 攻击 精准 防护 等 功能 。 
1.4.3 方案 部 署 位 置 


目前 ，Anti-DDoS 解决 方案 可 以 被 广泛 应 用 于 运营 商 骨 干 网 、 城 域 网 和 企业 网 、IDC 
等 关键 位 置 ， 可 实现 从 骨干 网 到 企业 网 的 层 层 防 护 ， 如 图 1-16 所 示 。 下 面 我 们 具体 介绍 
城 域 网 、 企 业 网 和 IDC 的 部 署 。 | 





Anti-DDoS 
A 





全 Ant-DDoS 





企业 互联 网 出 口 数据 中 心 出 口 防 护 
图 1-16 方案 部 署 位 置 


1. 城 域 网 部 署 | 

城 域 网 部 署 可 抵御 外 城 域 网 对 本 城 域 网 的 DDoS 攻击 ， 保 护 城 域 网 带宽 资源 可 用 。 它 可 
在 防护 对 象 汇聚 处 提供 安全 运营 业务 ， 提 供 增值 服务 ， 确 保 防 护 对 象 带宽 资源 及 业务 安全 。 

2. IDC 之 路 部 署 

越 来 越 多 的 企业 业务 和 数据 正 从 分 散 部 署 走向 大 集中 ， 作 为 集中 模式 的 代表 ， 数 据 中 
心 的 出 现 极 大 地 促进 了 企业 的 发 展 。IDC 出 口 带宽 流量 较 大 ， 业 务 类 型 丰富 ， 对 可 靠 性 要 求 
高 , 容易 遭受 泛 洪 类 攻击 和 新 型 应 用 层 攻击 的 双重 威胁 。 Anti-DDoS 解决 方案 可 确保 托管 服 
务 器 业务 不 中 断 ， 专 业 防 护 HTTP、HTTPS、DNS、SIP Server， 提 供 运 营 增值 业务 。 

3. 企业 网 出 口 部 署 

企业 网 出 口 部 署 可 帮助 清洗 从 外 部 进入 的 DDoS 攻击 , 防止 内 部 主机 服务 器 被 黑客 控 
制 发 起 DDoS 攻击 。 它 对 于 业务 流量 模型 的 学 习 ， 可 确保 企业 网 带宽 资源 及 应 用 业务 服务 
器 的 安全 。 


1.4.4 方案 部 署 模式 


1. Anti-DDoS 设备 部 署 模式 

Anti-DDoS 方案 主要 支持 直路 部 署 、 旁 路 静态 引流 和 旁 路 动态 引流 部 署 三 种 模式 ， 
如 图 1-17 所 示 。 

(1) 直路 部 署 

直路 部 署 组 网 简单 , 不 需要 额外 增加 接口 。 由 于 所 有 流量 都 将 经 过 DDoS 防护 设备 ， 
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直路 部 署 在 个 别 攻击 防护 上 要 优 于 旁 路 部 署 。 但 这 也 是 对 DDoS 防护 设备 可 靠 性 的 考验 ， 
因此 ,方案 采取 了 清洗 设备 外 置 Bypass 卡 或 直路 双 机 的 部 署 方式 ， 保 证 系统 在 清洗 设备 
故障 时 业务 流量 能 够 正常 通过 ， 增 强 链 路 可 靠 性 。 





内 部 网 络 
。 支 持 透明 /路 由 部 署 。 适 合 IDC 实时 防御 场景 ”。 适 合 IDC 大 规模 运营 场景 
。 支 持 外 置 Bypass 。 方 案 可 靠 性 高 。 方 案 可 靠 性 高 
。 适 合用 户 网 络 规模 较 。 部 署 成 本 低 。 管 理 灵活 
小 的 场景 
。 部 署 管理 维护 成 本 低 


1-17 方案 部 署 模 式 


这 时 ， 就 出 现 了 一 个 问题 ， 如 果 用 户 组 网 复杂 ， 难 以 使 用 直路 部 署 ， 甚 至 不 希望 破 
坏 原 有 组 网 ， 该 怎么 办 ? 

(2) 旁 路 静态 引流 部 署 

旁 路 部 署 应 运 而 生 ， 可 完全 解决 上 述 问 题 。 我 们 首先 介绍 旁 路 静态 引流 部 署 。 所 请 
静态 引流 ， 就 是 将 所 有 去 往 防护 对 象 的 流量 都 引流 到 清洗 设备 进行 清洗 ， 不 论 流量 是 否 
存在 异常 。 这 种 方式 虽然 不 用 部 署 检测 中 心 ， 但 对 清洗 设备 性 能 要 求 较 高 。 如 果 清洗 设 
备 性 能 不 足 ， 有 可 能 会 影响 客户 的 正常 业务 。 

于 是 ， 又 出 现 一 个 问题 -在 天 流量 场景 下 ， 如 果 DDoS 防护 设备 处 理 所 有 流量 将 耗 
费 大 量 的 转发 性 能 ， 导 致 安全 投资 上 升 ， 同 时 仍 可 能 面临 影响 客户 正常 业务 的 风险 。 问 
题 如 何 被 彻底 解决 呢 ? 

(3) 旁 路 动态 引流 部 署 

动态 引流 部 署 应 运 而 生 ， 所 谓 动态 引流 ， 就 是 将 去 往 防护 对 象 的 流量 先 复制 一 份 到 
检测 设备 进行 检测 ， 如 果 发 现存 在 异常 流量 才 会 被 引流 到 清洗 设备 进行 清洗 。 动 态 引流 
的 优点 在 于 只 有 异常 流量 才 会 被 引流 清洗 ， 正 常 流量 会 被 正常 转发。 

旁 路 动态 引流 部 署 在 保证 原 有 组 网 不 被 破坏 的 基础 上， 实现 了 上 行 流量 无 需 经 过 
DDoS 防护 设备 ， 下 行 流量 按 需 牵引 的 目标 ， 使 防护 性 能 及 可 靠 性 都 得 到 了 保障 。 
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2. .ATIC 部 署 

在 Anti-DDoS 方案 中 ，ATIC 的 Anti-DDoS 采集 器 和 管理 服务 器 支持 分 布 式 部 署 和 
集中 式 部 署 两 种 方式 。 

(1) 集中 式 部 署 

Anti-DDoS 采集 器 和 管理 服务 器 同时 被 安装 在 同一 台 服 务 器 上 。 集 中 式 部 署 适用 于 
Anti-DDoS 设备 都 集中 在 一 个 局 域 网 内 的 场景 。 

(2) 分 布 式 部 署 

Anti-DDoS 采集 器 和 管理 服务 器 被 分 别 安装 在 不 同 服务 器 上 ， 多 台 采 集 器 可 以 共用 
一 台 ATIC 服务 器 。 分 布 式 部 署 适 用 于 Anti-DDoS 设备 分 布 在 广域网 各 处 的 场景 。 


1.4.5 方案 亮点 


华为 Anti-DDoS 解决 方案 之 所 以 能 “脱颖而出 ”是 因为 其 具备 以 下 亮点 。 

(1) 响应 快速 

华为 Anti-DDoS 逐 包 检 测 方案 响应 时 间 为 2 一 3 秒 ， 可 保护 业务 永 续 无 忧 。 

(2) 性 能 高 效 

华为 AntiDDoS8000 系列 具备 单杠 最 高 1440Gbits 的 检测 或 清洗 性 能 ， 整 机 性 能 较 好 。 

(3) 防御 精准 

华为 Anti-DDoS 系统 可 精确 防御 90% 以 上 的 流行 DDoS 攻击 ， 防 御 种 类 100 多 种 ， 
比 业界 多 30%; 率先 支持 IPv6 防护 ， 支 持 IPv4/IPv6 双 栈 防护 ， 多 种 技术 保障 零 误 判 。 

(4) 增值 运营 

华为 Anti-DDoS 系统 支持 丰富 的 运营 特性 ， 运 营 商 可 以 用 其 来 为 大 客户 提供 
Anti-DDoS 防护 增值 业务 ; 多样 自 助 服 务 ， 丰 富 报表 ， 可 使 企业 对 自身 安全 运营 状态 了 
如 指 掌 ， 具有 邮件 、 声 音 等 多 种 告警 模式 ， 运 维 快速 响应 ， 多 样 化 的 客户 自助 服务 ， 让 
客户 的 客户 放心 ， 增 加 客户 黏度 。 
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2.1 热点 事件 解密 之 : 视频 软件 断 网 事件 


说 到 DDoS 攻击 ， 人 们 会 不 由 自主 地 想起 之 前 某 视频 软件 (化 名 “龙卷风 ”) 引发 
的 断 网 事件 。 DDoS 攻击 带 来 的 巨大 破坏 使 得 短 短 两 个 小 时 内 全 国 大 部 分 地 区 的 DNS 
服务 器 陆续 瘫痪 ， 导 致 用 户 不 能 正常 上 网 ， 更 为 重要 的 是 ， 众 多 黑客 找到 了 一 种 新 的 
攻击 模式 。 


2.1.1 事件 回顾 


此 次 事件 的 起 因 是 两 台 游戏 服务 器 互相 竞争 ， 来 回 发 动 DDoS 攻击 。 在 达 不 到 预期 
效果 的 情况 下 ， 其 中 一 台 游 戏 服务 器 干脆 直接 攻击 对 方 的 域名 服务 器 。 

攻击 发 生 当晚 ，DNS 服务 提供 商 DNSPod 的 6 台 服 务 器 开始 受到 攻击 。 当 晚 20 点 
33 分 ， 在 大 流量 攻击 下 ，DNSPod 的 6 台 服 务 器 开始 陆续 失效 ， 大 量 网 站 开始 间歇 性 无 
法 访问 。 第 一 波 攻击 的 流量 在 21 点 30 分 左右 达到 高 峰 ， 流 量 超过 了 10Gbit/s。 此 时 ， 
由 于 DNSPod 耗 尽 了 整个 机 房 近乎 三 分 之 一 的 带宽 资源 , 为 了 不 影响 机 房 其 他 用 户 使 用 ， 
DNSPod 服务 器 被 运营 商 下 线 。 

如 果 事 情 到 此 为 止 ， 其 实 也 不 会 造成 多 大 的 影响 。 可 是 ，DNSPod 并 不 仅仅 为 这 个 
被 攻击 的 游戏 服务 器 提供 域名 解析 服务 , 它 还 支持 数 十 万 其 他 的 网 站 , 这 其 中 就 包括 “ 龙 
卷 风 ” 软 件 。 普 通用 户 遇 到 上 网 失败 时 ， 尝 试 几 次 就 放弃 了 ; 可 这 个 软件 的 设计 使 它 在 
请 求 失败 后 持续 不 断 地 重新 发 起 请 求 ,- 攻击 如 图 2-1 所 示 。 





DNSPod 





终端 用 户 
图 2-1 DDoS 攻击 示意 


攻击 发 生 的 第 二 天 晚上 ， 由 于 DNSPod 网 络 服务 被 中 断 ， 致 使 其 无 法 提供 域名 解析 
服务 。 诸 多 采用 DNSPod 服务 的 网 站 无 法 被 访问 ，DNS 请 求 涌 向 了 本 地 DNS 缓存 服务 
器 , DNS 缓存 服务 发 生 了 大 面积 的 堵塞 情况 。 之 后 的 两 个 小 时 内 全 国 大 部 分 地 区 的 DNS 
缓存 服务 器 开始 陆续 瘫痪 ， 全 国 出 现 大 面积 断 网 情况 。 
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2.1.2， 事 件 中 涉及 的 几 个 关键 角色 


CD DNSPod: 国内 最 大 的 一 家 免费 DNS 服务 提供 商 ,“ 龙 卷 风 ”软件 和 前 面 恶 性 竞 
争 的 游戏 服务 器 都 是 DNSPod 的 客户 。 

@ 运营 商 : DNSPod 无 法 独立 承建 数据 中 心 ， 只 能 租用 运营 商 IDC 的 机 房 和 服务 
器 资源 。 

人 “龙卷风 ”软件 : 软件 中 有 一 项 强制 随机 启动 的 进程 ， 只 要 用 户 安装 了 该 软件 ， 
该 进程 就 会 自动 运行 ， 并 不 断 连 接 视频 网 站 ， 下 载 广告 或 升级 软件 。 

整个 事件 有 以 下 几 个 关键 点 。 

@ 游戏 服务 器 攻击 竞争 对 手 的 DNS 服务 ， 间 接 玫 击 了 整个 DNSPod 的 业务 。 

@ 运营 商 阻 断 了 DNSPod 流量 ， 粗 暴 地 对 流量 进行 了 黑洞 处 理 。 

@) 几 亿 台 安装 了 “龙卷风 ”客户 端的 PC 充当 “肉鸡 ” 导致 运营 商 DNS 缓存 服务 
器 无 法 提供 服务 ， 进 而 导致 大 面积 断 网 。 

如 果 我 们 把 这 次 事件 看 成 是 “多 米 诺 骨牌 ”效应 ， 那 被 推倒 的 第 一 张 “ 骨 牌 ” 
是 DNSPod 服务 器 ; 第 二 张 “ 骨 牌 ” 毫 无 疑问 就 是 “龙卷风 ”软件 ， 该 软件 充当 “ 肉 
鸡 ” 角 色 导 致 服务 器 耗 尽 了 电信 运营 商 DNS 缓存 服务 器 ， 而 第 三 张 “ 骨 牌 ”就 是 
全 国 范围 瘫痪 的 网 络 了 。 如 果 我 们 想 深入 理解 这 次 互联 网 灾难 ， 要 先 从 DNS 的 基 
础 知识 讲 起 。 


2.1.3 DNS 服务 器 在 网 络 中 充当 的 角色 


大 家 都 知道 ， 我 们 在 上 网 的 时 候 ， 输 入 的 网 址 其 实 是 一 个 域名 。 

网 络 上 的 计算 机 彼此 之 间 只 能 用 IP 地 址 相互 识别 ， 但 是 IP 地 址 是 一 串 数 字 ， 很 难 
被 记忆 ， 所 以 域名 便 出 现 了 。 域 名 很 容易 被 人 们 记 住 ， 我 们 在 上 网 的 时 候 可 以 直接 输入 
域名 ， 计算机 需要 通过 域名 找到 对 应 的 IP 地址 ， 这 就 是 域名 解析 的 过 程 。 

域名 解析 要 由 专门 的 域名 解析 系统 (Domain Name System，DNS ) 来 完成 。 如 图 2-2 
所 示 ，DNS 中 涉及 以 下 元 种 类 型 的 服务 器 。 

1， 根 服务 器 

根 服务 器 主要 管理 互联 网 的 主 目录 。 全 世界 只 有 13 个 根 轴 辑 服务 器 节点 。 这 13 个 
节点 中 有 10 个 被 部 署 在 美国 ， 剩 下 3 个 分 别 位 于 英国 、 瑞 典 和 日 本 。 虽 然 网 络 是 无 国界 
的 ， 但 服务 器 是 有 国界 的 。 所 有 根 服 务 器 均 由 美国 政府 授权 的 互联 网 域名 与 号 码 分 配 机 
构 ICANN 统一 管理 。 

2. 顶级 域名 服务 器 

顶级 域名 服务 器 一 般 存储 .com、.edu、.cn 等 顶级 域名 。 

3. 递归 服务 器 

递归 服务 器 也 可 被 理解 为 存储 官方 域名 解析 授权 的 授权 服务 器 ， 它 一 般 存储 着 网 络 
中 域名 和 IP 地 址 的 解析 关系 ， 也 就 是 DNSPod 充当 的 角色 。 试想 一 下 ， 如 果 每 个 上 网 用 
户 在 上 网 的 时 候 都 向 授权 服务 器 发 送 请 求 ， 那 授权 服务 器 可 能 无 法 承受 如 此 大 的 请 求 数 
量 ， 因 此 ， 缓 存 服务 器 的 存在 是 有 必要 的 。 
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第 一 次 访问 


顶级 域名 服务 器 
PP 地 址 : XXX.X 












第 二 次 访问 


| 


2-2 DNS 服务 器 处 理 流 程 


4. 缓存 服务 器 

缓存 服务 器 相当 于 授权 服务 器 的 一 个 代理 ， 可 以 缓解 授权 服务 器 的 压力 。 我 们 每 次 
上 网 的 时 候 ， 域 名 解析 的 请 求 都 被 发 给 缓存 服务 器 了 。 缓 存 服务 器 第 一 次 收 到 用 户 请 求 
的 时 候 , 会 向 授权 服务 器 请 求 域名 和 IP 地 址 的 解析 表 ， 然 后 将 其 储存 到 本 地 ， 等 后 续 再 
有 用 户 请 求 相同 的 域名 时 ， 就 会 直接 答复 ， 不 再 向 授权 服务 器 请 求 ， 毕 竟 一 个 网 站 的 卫 
地 址 不 是 经 常 变化 的 。 当 然 ， 这 个 解析 表 是 有 一 定 有 效 期 的 ， 等 有 效 期 到 了 ， 这 个 解析 
表 就 会 自动 老化 ， 下 次 有 用 户 请 求 时 缓存 服务 器 就 会 重新 询问 授权 服务 器 。 这 个 定期 老 
化 机 制 可 以 保证 缓存 服务 器 上 的 域名 解析 能 定期 更 新 。 

@ DNS 客户 端 查 询 通常 采用 递归 方式 ,缓存 服务 器 首先 会 判断 本 地 是 否 有 这 个 域名 
的 解析 缓存 。 

@ 如 果 本 地 没有 该 域名 的 解析 缓存 ， 绥 存 服务 器 就 会 把 域名 发 送 到 根 服务 器 。 根 
服务 器 收 到 某 网 址 的 请 求 后 ， 会 判断 .com 是 由 谁 授权 管理 的 ， 并 返回 .com 所 在 的 顶 
级 域名 服务 器 IP 地址 。 

@) 缓存 服务 器 继续 向 顶级 域名 服务 器 发 送 某 网 址 解析 请 求 ， 顶 级 域名 服务 器 收 到 
请 求 后 ， 会 返回 某 网 址 下 一 级 的 递归 服务 器 卫 地 址 。 

@ 缓存 服务 器 继续 向 递归 服务 器 发 送 某 网 址 解析 请 求 ， 递 归 服 务 器 收 到 请 求 后 ， 
返回 某 网 址 的 解析 IP 地 址 。 如 果 域 名 层级 较 多 ， 递 归 服 务 器 层级 也 会 越 多 。 

@@ 缓存 服务 器 得 到 某 网 址 的 解析 IP 地 址 后 ， 将 卫 地 址 发 送 给 客户 端 ， 同 时 在 本 地 
缓存 。 
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@ 后 续 一 段 时 间 内 ， 当 有 客户 端 再 次 请 求 某 网 址 的 域名 解析 时 ， 缓 存 服务 器 直接 
回应 解析 的 一 地 址 ， 不 再 重复 询问 。 


2.1.4 ”针对 关键 环节 的 解决 方案 思路 


我 们 继续 回 到 “龙卷风 ”软件 这 件 事 上 。 在 当年 ， 运 营 商 对 DNSPod 采用 的 是 粗暴 
式 的 黑洞 处 理 ， 显 然 这 种 方式 是 不 合适 的 ， 其 直接 影响 了 其 他 域名 的 解析 业务 。 
DNS 递归 〈 授 权 ) 服务 缺少 有 效 的 保护 ， 运 营 商 IDC 和 SP 缺少 应 用 层 清洗 能 力 ， 
无 法 识别 应 用 层 的 攻击 流量 针对 性 地 清洗 攻击 流量 。 


2.1.5 “华为 Anti-DDoS 系统 的 解决 方案 yy 


华为 Anti-DDoS 专业 防御 系统 对 DNS 服务 器 提供 精细 化 的 防御 。 精 细 化 的 意思 是 
针对 不 同 的 DNS 服务 器 、 不 同 的 攻击 类 型 、 不 同 的 应 用 场景 ， 该 系统 会 提供 不 同 的 防御 
手段 。 华 为 Anti-DDoS 针对 这 次 事件 可 以 从 两 方面 进行 部 署 。 

1. 授权 服务 器 防护 

DNSPod 服务 器 的 防护 可 以 作为 第 一 道 防线 。 由 于 DNSPod 服务 器 所 遭受 的 攻击 其 
实 都 是 僵尸 主机 发 送 的 DNS 请 求 , 属于 虚假 源 攻 击 , 所 以 它 可 以 采用 重 定向 方式 进行 防 
御 ， 如 图 2-3 所 示 。 ; 


@ Anti-DDoS 系统 被 部 署 在 授权 服务 器 前 ， 统 计 到 达 授 权 服 务 器 的 流量 。 流 量 
达到 告警 阐 值 前 ，Anti-DDoS 系统 只 对 其 进行 统计 ， 不 进行 其 他 处 理 


时 


授权 服务 器 


LL 

















授权 服务 器 





@) 如 果 是 真实 存在 的 源 ，Anti-DDoS 系统 会 正常 响应 源 认证 报 文 


缓存 服务 器 © 沁 以 服务 名 

. 某 网 址 的 IP 地 址 是 多 少 
访问 abc 该 网 址 吧 

那 abc 的 网 址 的 卫 是 多 少 _ 

















图 2-3 ”授权 服务 器 源 认 证 


28 华为 Anti-DDoS 技术 漫谈 
人 @@ 认证 通过 的 源 ，Anti-DDoS 系统 会 将 此 源 记录 到 白 名 单 中 ， 后 续 这 个 源 发 送 的 请 
求 将 被 直接 通过 ， 不 需 重复 认证 
真实 缓存 服务 器 © 授权 服务 器 
还 就 继续 访问 某 网 址 吧 
某 网 址 的 全 是 多 少 
某 网 址 的 全 x 是 ZZZZ 


是 虚假 源 ， Anti-DDoS 系统 不 会 正常 响应 源 认 
求 报 文 也 不 会 到 这 蛋 权 服务 

虚假 缓存 服务 器 © 授权 服务 器 
某 网 址 的 IP 是 多 少 
ET 和 有 










3 
S 


@@ 如 文 ， 所 有 它 发 送 隐 请 












图 2-3 ”授权 服务 器 源 认 证 ( 续 ) 

2. 缓存 服务 器 防护 

如 果 DNSPod 服务 器 不 幸 失 效 了 ， 那 我 们 还 可 以 通过 保护 DNS 缓存 服务 器 来 对 其 
进行 保护 ， 这 是 阻止 事件 继续 恶化 的 第 二 道 防线 。 

DNS 缓存 服务 器 和 DNSPed 服务 器 所 遭受 的 攻击 不 同 ， 毕 竟 “ 龙 卷 风 ”软件 的 用 户 
都 是 真实 存在 的 源 , 这 种 攻击 属于 真实 源 攻击 。 源 认证 防御 方式 对 这 种 真实 源 攻击 无 效 ， 
所 以 我 们 可 以 采用 以 下 应 对 方法 。 

首先 ，Anti-DDoS 系统 支持 针对 DNS 服务 的 Top N 统计 ， 并 提供 报表 。 如 图 2-4 所 
示 。 从 报表 中 ， 我 们 可 以 获知 访问 最 多 的 Top N 域名 ， 在 这 么 大 的 访问 量 下 ,“ 龙 卷 风 ” 
软件 一 定 是 名 列 前 茅 的 。 





回应 Top N 趋 势 Cache 请 求 趋势 ”请 求 分 类 趋势 。 ”解析 成 功率 。 异常 报 文 分 析 











全 2016-08-14 230000 4049558 2562608 


图 2-4 Top N 统计 


然后 ， 我 们 对 被 攻击 的 域名 进行 指定 域名 限 速 ， 即 限 速 “龙卷风 ”软件 的 域名 。 这 
样 就 可 以 避免 其 他 域名 服务 受 影响 ， 也 不 会 导致 DNS 绥 存 服务 器 瘫痪 。 

域名 作为 广大 民众 访问 互联 网 的 起 点 和 入 口 ， 是 全 球 互 联网 通信 的 基础 。 域 名 解析 
系统 作为 承载 全 球 亿 万 域名 正常 使 用 的 系统 ， 是 互联 网 的 基础 设施 。 而 域名 系统 又 是 一 
种 公开 服务 ， 很 容易 成 为 被 黑客 攻击 的 对 象 。 域 名 系统 的 故障 会 导致 互联 网 陷入 瘫痪 ， 
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所 以 域名 系统 的 保护 也 变 得 至 关 重 要 。 

“龙卷风 ”软件 攻击 事件 的 第 二 阶段 ， 也 就 是 DNS 缓存 服务 器 拒绝 服务 ， 导 致 大 面 
积 Internet 接 入 瘫痪 的 过 程 ， 才 是 本 次 攻击 的 “威力 点 ”。 这 个 结果 虽然 不 是 攻击 者 的 本 
意 ， 但 是 一 连 串 的 连锁 反应 ， 使 它 成 为 DDoS 攻击 史上 具有 里 程 碑 意 义 的 关键 事件 。 它 
给 了 DDoS 攻击 者 新 的 方向 ， 使 其 知道 了 如 何 利用 庞大 的 网 络 基础 设施 架构 制造 更 强大 、 
更 真实 的 DDoS 攻击 。 后 面 的 NTP 反射 攻击 , 视频 签名 艇 入 式 攻 击 等 都 是 源 于 这 个 思路 ， 
此 次 事件 是 DDoS 发 展 的 里 程 碑 事 件 。 


2.2 DNS 协议 解析 


近 几 年 ，DNS 攻击 成 为 应 用 层 DDoS 攻击 的 代表 性 攻击 ， 其 每 年 发 生 的 频率 都 在 大 
幅 上 升 ，DNS 攻击 造成 的 影响 也 非常 大 。 


2.2.1 DNS 协议 基础 


想 要 理解 DNS 攻击 的 原理 ， 我 们 就 要 先 明白 DNS 协议 的 基础 ， 我 们 从 DNS 协议 
本 身 来 进行 介绍 。DNS 通过 RFC1034、-1035 协议 定义 规范 ， 属 于 应 用 层 协议 。 在 前 文 
中 ， 我 们 也 提 到 ，DNS 是 互联 网 上 非常 重要 的 一 项 服务 ， 我 们 每 天 上 网 都 要 依靠 大 量 的 
DNS 服务 。 在 Internet 上 ， 用 户 更 容易 记 住 的 是 域名 ， 但 是 网 络 中 的 计算 机 的 互相 访问 
是 通过 IP 地 址 实现 的 。DNS 最 常用 的 功能 是 给 用 户 提 供 域名 解析 服务 ， 将 用 户 的 域名 
解析 成 网 络 上 能 够 访问 的 IP 地 址 。 

下 面 我 们 来 研究 DNS 报 文 的 格式 。 


2.2.2 DNS 报 文 格 式 
DNS 报 文 格式 如 图 2-5 所 示 。 







授权 资源 记录 数 额外 资源 记录 数 
查询 问题 
问答 
《资源 记录 数 可 变 ) 


授权 
《资源 记录 数 可 变 ) 


额外 信息 
(资源 记录 数 可 变 ) 


图 2-5 DNS 报 文 格式 







30 华为 Anti-DDoS 技术 漫谈 


下 面 我 们 结合 DNS 查询 报 文 和 响应 报 文 的 抓 包 信息 来 理解 报 文 格式 中 的 几 个 关键 
字段 ， 我 们 先 了 解 一 下 DNS 查询 报 文 的 抓 包 ， 如 图 2-6 所 示 。 


‘Num | Source Address oA Sunmary ‘Length ~ Rel Time [DelaTimne [AbsTime 
445,145,143.145 A61465,146.146 DNS: Standard quary A wwwddes, 72 00100:00. .000.000 Qo ,00100,000.000 12114:43,095,851 


i 146.146.146.146 145.145.145.145 DNS:S nr Oary rexwponss 72 00:00:00.000.850 00:00:00.000.850 12:14:43.096.711 





布下 seo so 2 bytes cagtared) 
下 er 












市 条 ba D0: 045800 92h. nt: D8219:26°92:81:e 

和 出生 It 45.135.445.145114 4 Dt 46.1M46.146.146 (146.148146.146) 
Sr Pert L174 (17: 4 Br UDP 

i 了 人 7 2 "基于 协议 





| 站 um: J re 
| 





ss] QR=0; 查询 报 文 
芝 rc 使 用 UDP 传输 数 据 ， 
= reserved {0 ee 

= Non-a srhenticated date On Non- authenticated dats 13 unacceptable 


和 和 


mens npeygy 的 域名 - 人 


Type AfHost adédress} 
和 一 Class: 1N (Ox0001} 


图 2:-6 DNS 查询 报 文 抓 包 


DNS 报 文 由 12B 长 的 首部 和 4 个 长 度 可 变 的 字段 组 成 。 标 识字 段 由 客户 端 程序 设置 
并 由 服务 器 返回 结果 ， 客 户 端 通过 标识 来 确定 响应 与 查询 是 否 匹 配 。 报 文中 涉及 的 字段 
很 多 ， 我 们 重点 解释 以 下 几 个 关键 字段 。 

@ UDP: DNS 查询 是 基于 UDP 传输 数据 的 。DNS 服务 器 支持 TCP 和 UDP 两 种 协 
议 的 查询 方式 。 

@ Destination port: 目的 端口 默认 是 53。 

图 QR: 0 表示 查询 报 文 ; 1 表示 回应 报 文 。 

@ TC: 表示 “可 截断 ”。 使 用 UDP 时 ， 当 应 答 报 文 超过 512Byte 时 ， 只 返回 前 
$512Byte。 

通常 情况 下 ，DNS 查询 都 是 使 用 UDP，UDP 提供 无 连接 服务 器 ， 查 询 速 度 快 ， 
可 降低 服务 器 的 负载 。 当 客户 端 发 送 DNS 请 求 ， 并 且 返 回响 应 中 TC 位 设置 为 1 时 ， 
就 意味 着 响应 的 长 度 超过 512Byte， 而 仅 返 回 前 512 个 字 节 。 这 种 情况 下 ， 客 户 端 
通常 采用 TCP 重 发 , 将 重 发 原来 的 查询 请 求 , 并 允许 返回 的 响应 报 文 超过 512Byte。 
简单 来 说 ;就 是 -UBP- 报 文 的 最 大 长 度 为 512Byte， 而 TCP 则 允许 报 文 长 度 超过 
512Byte。 当 DNS 查询 超过 512Byte 时 ,协议 的 TC 标志 位 会 被 置 为 1， 这 时 则 使 用 
TCP 发 送 。 

@ Queries: 表示 DNS 请 求 的 域名 和 类 型 。 

接 下 来 我 们 再 来 了 解 DNS 回应 报 文 的 抓 包 ,如 图 2-7 所 示 。 回应 报 文 比 查 询 报 文 多 
了 后 3 个 字段 : 回答 字段 、 授 权 字 段 和 附加 信息 字段 。 其 中 回答 字段 放置 的 是 域名 对 应 
的 耻 地 址 等 信息 。 

人 Name: DNS 查询 中 的 请 求 域名 。 

@ Type: 每 一 个 查询 都 有 一 个 查询 类 型 , 每 一 个 响应 也 都 有 一 个 响应 类 型 。 这 个 类 
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型 大 约 有 20 多 种 ， 但 是 很 多 现在 已 经 过 时 了 。 最 常用 的 查询 类 型 是 A 类 型 ， 它 表示 期 
望 获得 查询 域名 的 IP 地址。 查询 类 型 也 可 以 是 CNAME。 


ias ds 46 ie 146 14 bus Gtandd dae addescam 2 
145,145,145,145 DNS: Standard quary response A 14 















~ 额外 信息 
图 2-7 DNS 回应 报 文 抓 包 


图 TTL: 生存 时 间 ， 表 示 客 户 端 保留 该 解析 资源 记录 的 时 间 。 
2.2.3 DNS 交互 


假设 一 个 用 户 要 去 华为 商城 买 一 部 手机 ， 那 么 从 他 在 浏览 器 上 输入 华为 商城 的 域 
名 ,到 打开 商城 网 页 的 一 瞬间 ， 其 实 发 出 的 DNS 请 求 报 文 已 经 经 历 了 图 2-8 所 示 的 查询 

为 了 便于 理解 ,我 们 简化 一 下 DNS 报 文 交互 的 流程 ， 如 图 2-9 所 示 。 递 归 服 务 器 这 
种 有 官方 域名 授权 的 服务 器 ， 我 们 暂且 把 这 类 服务 器 统一 归 类 为 “授权 服务 器 ”。 这 样 
DNS 服务 就 可 以 被 分 为 两 大 类 : 一 种 是 授权 存储 域名 和 IP 地 址 映射 关系 的 授权 服务 ; 
另 一 种 是 临时 存放 域名 和 IP 地 址 映射 关系 的 缓存 服务 。 

DNS 查询 通常 都 是 基于 UDP 的 , 这 就 导致 了 在 查询 过 程 中 验证 机 制 的 缺失 ,黑客 
很 容易 利用 该 漏洞 进行 分 析 。 下 面 ， 我 们 就 分 析 一 下 这 两 类 服务 可 能 面临 的 DNS 攻击 
风险 。 

风险 一 ， 黑 客 伪造 客户 端 源 卫 地 址 发 送 大 量 的 DNS 请 求 报 文 ， 造 成 DNS request 
flood 攻击 。DNS request flood 是 当前 最 常见 的 DNS 攻击 。 这 类 攻击 可 以 针对 缓存 服务 
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器 ， 也 可 以 针对 授权 服务 器 。 


第 一 次 访问 






顶级 域名 服务 器 
IP 地 址 : X.X.X.X 


某 网 址 对 应 的 IP 地 址 是 什么 
某 网 址 下 一 级 的 域名 服务 器 
IP 地 址 是 YYYY 




















AT 


| 
起 zp) 某 网 址 的 了 地 址 是 ZZ.Z.Z 






二 次 访问 
第 二 次 访问 | 
| -级 丰 服务 


某 网 址 的 IP 地 址 是 Z.Z.Z.Z 





2-8 DNS 报 文 交付 过 程 


缓存 服务 器 授权 服务 器 


DNS request: 人 
有 CD DNS request: 我 想 访问 某 网 址 八 。 | @) 某 网 址 对 应 的 人 P 地 址 是 什么 区 C4 
(G) DNS reply: IP 地 址 是 YYYY | 











人) DNS reply: IP 地 址 是 YYY 





图 2-9 DNS 报 文 交 付 简 化 过 程 


风险 三 ， 黑 客 伪造 成 授权 服务 器 发 送 大 量 的 DNS 回应 报 文 ， 造 成 DNS reply flood 
攻击 。 | 
风险 三 > 黑客 纂 改革 些 网 站 的 域名 和 IP 地 址 对 应 关系 ， 导 致 用 户 访问 被 导向 至 其 他 
网 站 。 
风险 四 ， 黑 客 向 DNS 服务 器 发 送 大 量 错误 格式 的 DNS 异常 报 文 ， 或 者 发 送 大 量 超 
长 DNS 报 文 ， 导 致 DNS 服务 器 处 理 这 些 报 文 时 出 现 异常 ， 拒 绝 正常 服务 。 
当然 ，DNS 的 查询 过 程 主要 是 基于 UDP 的 ， 也 有 少量 基于 TCP， 所 以 除了 应 用 层 
攻击 外 ， 其 可 能 也 会 遭受 传输 层 的 TCP 或 UDP 类 攻击 ， 比 如 SYN flood、UDP flood 等 。 
在 “龙卷风 ”软件 案例 中 ， 我 们 介绍 了 一 些 和 案例 本 身 相 关 的 DNS 攻击 ， 以 及 适 
合 此 场景 的 防御 措施 。 其 实 DNS 的 攻击 和 防御 措施 远 不 止 这 些 , 接 下 来 我 们 就 重点 介绍 
安全 领域 比较 常见 的 一 些 DNS 攻击 以 及 相应 的 防御 措施 。 
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2.3 DNS Request Flood 攻击 与 防御 


2.3.1 DNS Request Flood 攻击 原理 


~ DNS request flood 的 攻击 原理 其 实 很 简单 ， 如 图 2-10 所 示 。 黑 客 控制 僵尸 网 络 向 
DNS 服务 器 发 送 大 量 不 存在 的 域名 的 解析 请 求 ， 最 终 导 致 服务 器 因 大 量 DNS 请 求 而 超 
载 ， 无 法 继续 响应 正常 用 户 的 DNS 请 求 ， 从 而 达到 攻击 的 目的 。 





DNS 授权 服务 器 








图 2-10 DNS requestflood 的 攻击 原理 


在 DNS request flood 的 攻击 过 程 中 ， 黑 客 的 攻击 目标 可 能 是 DNS 授权 服务 器 ， 也 
可 能 是 DNS 缓存 服务 器 。 黑 客 伪 造 的 客户 端 亿 地址 可 能 是 虚假 源 了 地址， 也 可 能 是 现 
网 真实 存在 的 卫 地 址 。 如 果 遭 受 攻击 的 是 DNS 授权 服务 器 ， 大 量 不 存在 的 域名 解析 请 
求 会 导致 服务 器 应 接 不 暇 ， 最 终 导致 服务 器 性 能 耗 尽 ， 如 果 遭 受 攻击 的 是 缓存 服务 器 ， 
则 会 导致 缓存 服务 器 不 停 地 向 授权 服务 器 发 送 这 些 不 存在 的 域名 的 解析 请 求 ， 一 收 一 发 
更 加 重 服务 器 的 负担 ， 直 到 导致 服务 器 瘫痪 。 

对 于 缓存 服务 器 和 授权 服务 器 ， 虽 然 遭 受 的 都 是 DNS request flood 攻击 ， 但 由 于 请 求 
的 客户 端 类 型 不 同 ， 所 以 其 防御 的 手段 也 不 同 。 对 于 缓存 服务 器 ， 正 常 向 它 发 送 DNS 请 求 
的 是 上 网 的 终端 用 户 ， 所 以 在 防御 过 程 中 ， 其 需要 先 判定 这 个 DNS 请 求 是 否 由 真实 、 正 常 
的 浏览 器 客户 端 发 出 ; 而 对 于 授权 服务 器 ， 正常 情况 下 与 其 交互 的 是 缓存 服务 器 ， 所 以 向 它 
发 送 DNS 请 求 的 可 能 就 是 缓存 服务 器 。 因 此 对 于 不 同 的 对 象 ， 认 证 方式 当然 也 不 同 了 。 


2.3.2 ”华为 Anti-DDoS 系统 如 何 防 御 DNS Request Flood 攻击 
我 们 先 从 缓存 服务 器 讲 起 ， 看 看 华为 Anti-DdoS 系统 是 怎么 防御 DNS request 
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flood 攻击 的 .Anti-DDoS 系统 防御 DNS request flood 攻击 最 初 采用 的 方式 是 TC 源 认 
证 方式 < 

1. TC 源 认 证 

DNS 查询 有 TCP 和 UDP 两 种 方式 。 通 常情 况 下 ，DNS 查询 都 是 基于 UDP 的 ， 此 
时 TC 标志 位 置 为 0， 其 可 以 通过 将 TC 标志 位 置 为 1 来 将 UDP 改 为 TCP 方式 。 华 为 
Anti-DDoS 系统 就 是 通过 修改 DNS 报 文中 的 TC 标志 位 ， 对 客户 端 进行 源 认证 的 ， 如 
2-11 所 示 。 


DNS 缓存 服务 器 













DNS 请 求 报 文 | 
DNS 请 求 报 文 
DNS 请 求 报 文 | 





伪造 源 下 地 址 









DNS 回应 : 请 以 TCP 方式 请 求 












I 
| 
| 
| 

DNS 请 求 : 某 网 址 (UDP) ”| 

_ DNS 回应 : 请 以 TCP 方 式 请 求 








SYN | 
SYN-ACK | 


ACK [ 


DNS 请 求 : 某 网 址 (TCP) 1 


DNS 回应 : IP 地 址 是 XXXX(TCP) 








图 2-11 TC 源 认证 


TC 源 认证 交互 过 程 如 下 。 

Q@ 当 客 户 端 发 送 的 DNS 请 求 报 文 长 度 超过 告警 阔 值 后 ，Anti-DDoS 系统 启动 源 认 
证 机 制 。 

@ Anti-DDoS 系统 拦截 DNS 请 求 ， 将 TC 标志 位 置 为 1 并 进行 回应 ， 要 求 客户 端 
以 TCP 方式 重新 发 起 DNS 查询 。 
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@) 如 果 这 个 源 是 虚假 源 ， 则 Anti-DDoS 系统 不 会 正常 响应 这 个 DNS 回应 报 文 ， 更 
不 会 通过 TCP 方式 重新 进行 DNS 查询 。 
图 如 果 是 真实 客户 端 发 送 的 请 求 ， 则 Anti-DDoS 系统 会 重新 发 送 SYN 报 文 ， 请 
求 建 立 3 次 握手 。 

@ Anti-DDoS 系统 对 客户 端 源 进行 TCP 层面 的 认证 。 源 认 证 通过 后 ， 客户 端 源 人 * 
地 址 被 加 入 白 名 单 。 

@ 客户 端 重新 请 求 建立 3 次 握手 ，Anti-DDoS 系统 将 客户 端 第 2 次 发 送 的 3 次 握 
手 请 求 直 接 放行 ， 发 送 给 服务 器 。 

@ 客户 端 与 服务 器 之 间 建 立 3 次 握手 成 功 ， TCP 方式 完成 本 次 DNS 
查询 。 

我 们 再 来 结合 一 组 抓 包 深入 了 解 此 过 程 。 

@ 客户 端 向 DNS 服务 器 第 一 次 发 送 DNS 请 求 报 文 ， 从 图 2-12 所 示 的 抓 包 中 可 以 
看 出 ，DNS 请 求 报 文 基于 UDP，TC 标志 位 是 0， 请 求 的 域名 是 www.xxx.com。 











图 2-12 ”客户 端 第 一 次 发 送 DNS 请 求 抓 包 
@ Anti-DDoS 系统 代替 Web 服务 器 进行 回应 ， 并 将 TC 标志 位 设置 为 1， 希望 客户 
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端 通过 TCP 方式 重新 发 起 DNS 查询 ， 如 图 2-13 所 示 。 
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图 2-13 ”Anti-DDoS 系统 代替 服务 器 回应 报 文 抓 包 


@ 从 图 2-13 中 可 以 看 出 客户 端 重新 用 TCP 方式 进行 了 DNS 查询 ,如 图 2-14 所 示 。 

这 种 方式 是 防御 DNS request flood 攻击 的 一 种 基本 的 认证 模式 ， 适 用 于 客户 端 是 浏 
览 器 的 认证 方式 = 随 着 这 种 防御 方式 在 现 网 中 的 应 用 ， 其 局 限 也 渐渐 地 显现 出 来 。 比 如 
现 网 中 有 一 些 真 实 的 客户 端 ， 并 不 支持 通过 TCP 方式 进行 DNS 查询 ， 在 这 种 情况 下 ， 
这 种 防御 方式 就 不 适用 了 。 所 以 ， 现 在 对 于 缓存 服务 器 的 DNS request flood 攻击 的 防御 ， 
模式 已 经 逐渐 被 另 一 种 “被 动 防御 ”模式 所 取代 。 

2. 被 动 防御 

被 动 模式 其 实 就 是 “以 不 变 应 万 变 ”% Anti-DDoS 系统 利用 DNS 的 重 传 机 制 ， 不 反 
弹 DNS 查询 报 文 ， 而 是 直接 不 处 置 ， 将 其 丢弃 ， 然 后 看 客户 端 是 否 重 传 ， 如 图 2-15 
所 示 。 












































DNS 请 求 报 文 
DNS 请 求 报 文 
DNS 请 求 报 文 | 








a DNS 请 求 报 文 


缓存 服务 器 








1 
| 
1 
DNS 请 求 报 文 ® 
重 传 : DNS 请 求 报 文 | 





图 2-15 被动 防御 
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Anti-DDoS 系统 在 第 一 次 收 到 DNS 请 求 报 文 后 ,就 会 记录 DNS 请 求 报 文 的 域名 、 
源 卫 地 址 等 基本 信息 ， 并 HASH 成 一 个 值 ， 将 其 记录 到 系统 的 表 里 。 后 续 一 定时 间 戳 
内 ， 如 果 Anti-DDoS 系统 再 收 到 与 这 个 HASH 值 相同 的 DNS 请 求 报 文 时 ， 就 认定 其 为 
重 传 包 ， 对 其 执行 放行 操作 。 时 间 戳 会 随 着 收 到 的 每 一 个 相同 HASH 值 的 DNS 请 求 报 
文 包 而 不 断 地 被 刷新 。 

我 们 再 以 抓 包 为 例 了 解 此 过 程 。 

@ 第 一 次 DNS 请 求 如 图 2-16 所 示 。 这 个 DNS 查询 报 文 会 被 Anti-DDoS 系统 丢 
弃 ， 并 且 系 统 不 回应 任何 报 文 。 





















































图 2-16 第 一 次 DNS 请 求 抓 包 


@ 第 二 次 DNS 请 求 如 图 2-17 所 示 。 客户 端 一 段 时 间 内 没有 收 到 DNS 回应 报 文 ， 
重新 发 送 DNS 请 求 报 文 。 

被 动 防御 模式 是 一 种 比较 通用 的 防御 手段 ， 适用 于 攻击 源 不 断 变 换 的 DNS 请 求 攻 
击 ， 但 其 对 客户 端的 类 型 没有 限制 ， 无 论 缓存 服务 器 还 是 授权 服务 器 都 适用 。 对 于 授权 
服务 器 ， 除 了 被 动 模式 外 ， 还 有 一 种 常用 的 防御 模式 一 一 CNAME。 

3. CNAME 模式 1 

授权 服务 器 直接 服务 的 “客户 ”通常 是 缓存 服务 器 ， 而 不 是 客户 端的 浏览 器 。 所 以 
在 源 认 证 的 时 候 ， 授 权 服 务 器 的 防御 机 制 和 缓存 服务 器 的 机 制 不 同 。 授 权 服 务 器 利用 的 ， 
是 DNS 的 CNAME (别名 ) 机 制 。 

DNS 协议 允许 将 多 个 域名 映射 到 同一 个 IP 地 址 上 ， 此 时 可 以 将 一 个 域名 作为 A 记 
录 指 向 服务 器 IP 地 址 ， 然 后 将 其 他 域名 作为 别名 ， 指 向 之 前 有 A 记录 的 域名 。 这 样 类 
型 的 存在 是 为 了 保证 在 IP 地 址 变更 时 ， 系 统 不 必 一 个 一 个 地 对 域名 做 出 相应 更 改 指 向 。 
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应 用 此 种 机 制 后 ， 系 统 只 需要 更 改 A 记录 的 相应 域名 到 新 IP 地 址 上 ， 其 他 别名 将 自动 
被 更 改 到 新 IP 地 址 上 。 


FE Address | Summaly 
























二 图 2.17 第 二 次 DNS 请 求 抓 包 
下 面 我 们 就 了 解 一 下 Anti-DDoS 系统 如 何 利用 CNAME 机 制 进行 源 认证 , 这 种 方式 
也 就 是 我 们 前 面 介绍 过 的 重 定向 方式 ， 如 图 2-18 所 示 。 


CO Ant-DDoS 系统 部 署 在 授权 服务 器 前 ， 统计 到 达 授 权 服 务 器 的 流量 。 流量 
达到 告警 阔 值 前 ，Anti-DDoS 系统 只 对 其 进行 统计 ， 不 进行 其 他 处 理 





人 流量 达到 告警 阅 值 后 ，Ant-DDoS 系统 启动 源 认证 ， 对 请 求 报 文 进行 重 定向 
授权 服务 器 





图 2-18 CNAME 防御 模式 
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@@ 如 果 是 真实 存在 的 源 ，Anti-DDoS 系统 会 正常 响应 源 认证 报 文 
缓存 服务 器 授权 服务 器 


某 网 址 的 IP 地 址 是 多 少 ， WP 
_。 访问 abc 该 网 址 吧 
那 该 网 址 的 下 地 址 是 多 少 耳 地 址 是 多 少 _ 


OE 的， Anti-DDoS 系统 会 将 此 源 记录 进 白 名 单 ， 后 续 这 个 源 发 送 的 请 
求 将 被 直接 通过 ， 不 需 重 复 认 证 


真实 缓存 服务 器 © 授权 服务 器 
还 是 继续 访问 某 网 址 吧 

某 网 址 的 卫 地 址 是 多 少 

某 网 址 的 全 地 址 是 Z.Z.ZZ. 


@) 如 果 是 虚假 源 ，Anti-DDoS 系统 不 会 正常 响应 源 认 
求 报 文 也 不 会 到 达 授 权 服务 器 。 


虚假 缓存 服务 器 © 授权 服务 器 


某 网 址 的 卫 地 址 是 多 少 
一 访问 abc 菜 网 址 色 “ 






















文 ， 所 有 它 发 送 的 请 





2-18 ”CNAME 防御 模式 〈 续 ) 


接 下 来 我 们 再 以 一 组 抓 包 为 例 了 解 此 过 程 。 
@ 客户 端 发 送 DNS 查询 的 请 求 ， 查 询 的 域名 是 www.xxx:com， 如 图 2-19 所 示 。 





图 2-19 DNS 查询 请 求 抓 包 


@ Anti-DDoS 系统 代替 Web 服务 器 进行 回应 ， 并 为 www.xxx.com 的 域名 加 了 一 个 
前 级 将 其 重 定向 为 GksbtkNgmpldezpe.www.xxx.com， 让 客户 端 重新 请 求 这 个 别名 ， 如 
图 2-20 所 示 。 
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图 2-20 Anti-DDoS 系统 代替 服务 器 回应 抓 包 


@ 客户 端 重新 请 求 重 定向 后 的 新 域名 : GksbtkNgmpldezpe.www.xxx.com， 如 
图 2-21 所 示 。 客 户 端正 常 响应 这 个 重 定向 域名 后 ，Anti-DDoS 系统 对 客户 端的 源 认证 就  _ 
通过 了 。 





图 2-21 客户 端 重新 请 求 重 定向 后 的 新 域名 抓 包 


@ Anti-DDoS 系统 第 2 次 重 定向 , 如 图 2-22 所 示 , 将 GksbtkNgmpldezpe.www.xxx.com 
再 重 定向 回 最 初 访问 的 域名 www.xxx.com。 
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图 2-22 Anti-DDoS 系统 第 2 次 重 定向 抓 包 
@ 客户 端 重新 请 求 www.xxx.com， 如 图 2-23 所 示 。 这 次 发 送 的 DNS 请 求 报 文 会 
直接 到 达 服 务 器 。 后 续 服务 器 会 回应 这 个 域名 的 解析 地 址 ， 完 成 此 次 DNS 查询 。 





图 2-23 客户 端 重新 请 求 www.ddos.com 抓 包 


通过 对 这 3 种 模式 的 了 解 ,我 们 不 难 发 现 ,无 论 是 TC 源 认证 、 被 动 防御 还 是 CNAME 
模式 ， 它 们 都 是 利用 DNS 协议 对 发 送 请 求 的 客户 端 是 否 真实 存在 所 进行 的 源 探 测 。 其 
中 ，TC 源 认 证 利用 的 是 DNS 协议 的 TCP 查询 方式 ; 被 动 模式 利用 的 是 DNS 协议 的 重 
传 机制 ， 而 CNAME 利用 的 是 DNS 协议 的 别名 机 制 。 
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2.4 DNS Reply Flood 攻击 与 防御 


2.4.1 DNS Reply Flood 攻击 原理 


DNS 查询 过 程 通常 都 是 基于 UDP 的 。UDP 是 无 连接 状态 的 ， 所 以 这 一 弱点 很 容易 
被 黑客 利用 。DNS 服务 器 收 到 DNS 回应 报 文 时 ， 不 管 自己 有 没有 发 过 解析 请 求 ， 都 会 
处 理 这 些 DNS 回应 报 文 。DNS reply flood 攻击 就 是 黑客 发 送 大 量 的 DNS 回应 报 文 到 
DNS 缓存 服务 器 ， 导 致 缓存 服务 器 因为 处 理 这 些 DNS 回应 报 文 而 耗 尽 资源 ， 影 响 正常 
业务 的 过 程 ， 如 图 2-24 所 示 。 


DNS 授权 服务 器 





EE 
De 一 Te 
僵尸 主机 ¢ . 3 





和 2 


图 2-24 DNS reply flood 攻击 原理 


DNS reply flood 攻击 大 多 都 是 虚假 源 攻击 , 黑客 控制 僵尸 主机 发 出 的 DNS 回应 报 文 
的 源 PP 地 址 通常 都 是 伪造 的 ， 是 不 存在 的 。 所 以 在 防御 的 时 候 ， 系 统 就 可 以 从 回应 源 PP 
地 址 的 真 假 性 切入 ， 判 定 这 个 源 人 P 是 否 是 真实 源 。 


2.4.2 ”华为 Anti-DDoS 系统 如 何 防御 DNS Reply Flood 攻击 


针对 这 种 攻击 行为 ，Anti-DDoS 系统 一 般 可 使 用 源 认证 方式 进行 防御 。 源 认证 的 
方法 就 是 通过 构造 一 个 DNS 请 求 报 文 , 试探 客户 端 是 否 能 正常 回应 的 过 程 ， 如 图 2-25 
所 示 。 

源 认 证 过 程 如 下 。 

@ Anti-DDoS 系统 部 署 在 受 保护 服务 器 前 ， 并 统计 到 达 服 务 器 的 DNS 回应 报 文 。 
当 到 达 服 务 器 的 DNS 回应 报 文 超过 告警 阐 值 时 ，Anti-DDoS 系统 启动 防御 。 

@ Anti-DDoS 系统 收 到 某 个 源 IP 地址 发 来 的 DNS 回应 报 文 后 , 会 重新 构造 一 个 新 
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的 DNS 请 求 报 文 ， 然 后 记录 构造 查询 报 文 的 Query ID 和 源 端口 号 。 
DNS 缓存 服务 器 





DNS 回应 报 文 | 
伪造 源 耳 地 址 DNS 回应 报 文 | 
DNS 回应 报 文 








DNS 回应 报 文 









DNS 授权 服务 器 


DNS 回应 报 文 


图 2-25 源 认证 


@ 如 果 是 虚假 源 ， 则 Anti-DDoS 系统 不 会 回应 这 个 DNS 回应 报 文 ， 认 证 不 通过 。 

@ 如 果 是 真实 DNS 授权 服务 器 ， 则 Anti-DDoS 系统 会 重新 回应 DNS 回应 报 文 。 

@ Anti-DDoS 系统 收 到 DNS 回应 报 文 后 , 会 将 其 与 之 前 记录 的 Query ID 和 源 端 口 
号 进行 匹配 。 如 果 完 全 一 致 ， 则 系统 判定 此 DNS 回应 报 文 就 是 反弹 DNS 请 求 报 文 的 回 
应 ， 源 认证 成 功 ， 将 其 加 入 白 名 单 。 

@ 后 续 这 个 源 再 发 送 的 DNS 回应 报 文 都 会 被 直接 通过 ， 直 到 白 名 单 老 化 。 

这 是 一 种 传统 的 DNS reply flood 攻击 和 防御 形式 。 近 几 年 , 还 有 一 种 升级 版 的 DNS ， 
reply flood 攻击 ， 因 为 危害 性 较 大 ， 而 备 受 安全 界 的 关注 ， 这 就 是 DNS 反射 攻击 。 


2.4.3 ”DNS 反射 攻击 


DNS 反射 攻击 是 DNS reply flood 攻击 的 一 种 变异 , 是 一 种 更 高 级 的 DNS reply flood 
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攻击 。 

如 图 2-26 所 示 ，DNS 服务 器 是 互联 网 的 基础 设施 之 一 ， 网 络 中 有 很 多 开放 的 免费 
DNS 服务 器 。DNS 反射 攻击 正 是 黑客 通过 这 些 开放 的 DNS 服务 器 制造 的 攻击 。 这 种 DNS 
反射 攻击 通常 比 普通 的 DNS reply flood 攻击 的 攻击 性 更 强 ， 追 踪 淹 源 更 难 。 





主机 A 我 要 请 ; # 
黑客 国王 机 A 我 要 请 求 域名 解析 


僵尸 主机 DNS 服务 器 
图 2-26 DNS 反射 攻击 原理 


从 图 2-26 中 我 们 可 以 看 到 ， 黑 客 将 自己 的 源 卫 地 址 伪造 成 被 攻击 目标 (主机 A) 
的 他 地 址 ， 然 后 向 网 络 中 开放 的 DNS 服务 器 发 送 大 量 的 查询 请 求 。 黑 客 通 过 伪造 DNS 
请 求 报 文 的 源 卫 地 址 ， 控 制 DNS 回应 报 文 的 流向 , 这 些 DNS 回应 报 文 都 会 被 引导 到 被 
攻击 目标 ， 导 致 被 攻击 目标 的 网 络 拥塞 ， 从 而 拒绝 正常 服务 。 而 全 球 有 几 千 万 台 开 放 式 
的 DNS 服务 器 ， 这 些 服务 器 的 接 入 带宽 往往 都 比较 高 ， 而 且 ，DNS 回应 报 文 的 大 小 通 
常 也 是 DNS 请 求 报 文 的 九 倍 甚至 几 十 倍 ， 因 此 ， 这 种 攻击 还 可 达到 放大 攻击 的 效果 。 
对 于 控制 成 千 上 万 台 伪 尸 主机 的 黑客 来 说 ;制造 几 GB 乃至 数 十 GB 的 DNS 攻击 流量 
并 不 太 困 难 。 

DNS 反射 攻击 和 前 面 介绍 的 传统 DNS reply flood 攻击 有 两 点 本 质 的 不 同 。 

@ 传统 DNS reply flood 攻击 的 攻击 目标 一 般 是 DNS 缓存 服务 器 ;而 DNS 反射 攻 
击 的 攻击 目标 一 般 是 客户 端 。 

@ 传统 DNS reply flood 攻击 大 多 是 虚假 源 攻击 , 而 在 DNS 反射 攻击 中 , DNS 请 求 
报 文 都 是 真实 的 ，DNS 回应 报 文 也 都 是 真实 的 ， 这 是 由 网 络 中 真实 的 DNS 服务 器 发 出 
的 ， 属 于 真实 源 攻 击 。 在 这 种 情况 下 ， 源 认证 方式 便 不 适用 DNS 反射 攻击 了 。 

Anti-DDoS 系统 借鉴 防火 墙 的 会 话 表 机 制 ， 利 用 DNS 交互 过 程 中 DNS 请 求 报 文 首 
包 创 建 会 话 的 机 制 ， 防 御 DNS 反射 的 放大 攻击 ， 如 图 2-27 所 示 。 

Anti-DDoS 系统 对 DNS 反射 攻击 采用 的 防御 手段 就 是 会 话 检 查 。 会 话 表 五 元 组 信息 
包含 : 源 耻 地址、 目的 卫 地 址 、 源 端口 目的 端口 和 协议 。 当 DNS 请 求 报 文 经 过 Anti-DDoS 
系统 时 ，Anti-DDoS 系统 会 创建 一 张 会 话 表 ， 记 录 DNS 请 求 报 文 的 这 五 元 组 信息 。 当 
Anti-DDoS 系统 再 收 到 DNS 回应 报 文 时 ， 就 会 查 会 话 表 : 如 果 它 与 会 话 表 匹 配 ， 系 统 就 
判定 它 是 真实 的 回应 报 文 ， 人 允许 它 通过 ， 如 果 它 与 会 话 表 匹配 ， 则 系统 判定 这 个 回应 报 
文 为 攻击 报 文 ， 禁 止 它 通过 。 

除了 源 认 证 和 会 话 检 查 以 外 ，DNS 攻击 还 可 以 通过 限 速 的 方式 被 防御 。DNS 限 速 
有 两 种 : 域名 限 速 和 源 IP 地 址 限 速 ， 针 对 DNS 请 求 报 文 和 DNS 回应 报 文 都 生效 。 
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触发 防御 后 ,Anti-DDoS 系 统 收 到 DNS 回 应 报 文 后 ,进行 会 话 表 
匹配 。 如 果 命 中 会 话 表 ， 则 允许 DNS 回应 报 文通 过 ; 如 果 没 
有 命中 会 话 表 ， 则 不 允许 其 通过 





DNS 回应 报 文 。 匹配 会 话 未 






真实 服务 器 


图 2-27 会 话 检查 


(1) 域名 限 速 

如 果 某 个 域名 的 DNS 请 求 或 回应 报 文 速率 过 高 ， 我 们 可 以 针对 这 个 域名 进行 限 速 。 

通常 某 个 域名 遭受 的 访问 量 一 直 高 ， 但 突然 有 一 天 某 访问 量 增长 到 平时 的 很 多 倍 ， 
此 时 我 们 可 判断 这 个 域名 可 能 遭受 了 攻击 。 域 名 限 速 就 是 指 在 资源 有 限 的 情况 下 ， 每 天 
只 有 一 定数 量 的 资源 被 提供 ， 先 到 先 得 。 

域名 限 速 可 以 有 针对 性 地 限制 某 个 特定 域名 ， 而 不 影响 其 他 域名 的 正常 请 求 。 

(2) 源 了 全 地址 限 速 

源 人 PP 地址 限 速 和 域名 限 速 相 比 属于 另 一 个 维度 的 限制 。 如 果 某 个 源 IP 地 址 域名 解 
析 的 速率 过 大 , 源 IP 地 址 限 速 就 可 以 有 针对 性 地 限 速 这 个 源 IP 地 址 的 DNS 请 求 报 文 或 
者 DNS 回应 报 文 ， 这 样 也 不 会 对 其 他 源 造成 影响 。 

现在 ， 这 种 利用 网 络 基础 架构 发 动 的 攻击 越 来 越 多 ， 比 如 2.1 节 介 绍 的 “龙卷风 ”、 
2.4 节 介绍 的 DNS 反射 攻击 ， 还 有 后 续 我 们 将 要 介绍 的 DNS 缓存 投 毒 攻 击 、HTTP 攻击 
等 。 作 为 互联 网 的 基础 设施 ，DNS 服务 器 和 其 他 各 种 服务 器 的 安全 稳定 运行 是 至 关 重 要 
的 ， 也 是 网 络 工程 师 在 部 署 网 络 设备 时 需要 重点 考虑 的 问题 。 


2.5 DNS 缓存 投 毒 玫 击 与 防御 


2.5.1 事件 回顾 


根据 Google 的 DNS 服务 商 OpenDNS 所 述 ， 曾 有 一 名 黑客 通过 将 Google 的 域 
名 服务 器 (nsl.google.com、ns2.google.com) 修改 成 CloudFlare 的 IP 〈173.245.59.108， 
173.245.58.166) 来 重 定向 访客 。 网 民 在 访问 Google 主页 的 时 候 ， 看 到 的 不 是 Google 的 
搜索 页 面 ， 而 是 一 张 自 拍照 。 

这 些 事件 其 实 是 黑客 算 改 了 域名 和 IP 地 址 的 映射 关系 , 将 用 户 访问 的 域名 指向 了 其 
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他 IP 地 址 所 导致 的 。DNS 算 改 可 能 发 生 在 各 个 环节 ， 比 如 在 客户 端 侧 、 在 授权 服务 器 
端 ， 或 者 在 缓存 服务 器 端 。 下 面 我 们 就 来 看 看 比较 常见 的 几 种 算 改 方式 。 


2.5.2 ”路 由 器 DNS 劫持 


黑客 利用 路 由 器 的 漏洞 入 侵 受 害 者 的 路 由 器 ， 算 改 路 由 器 中 DNS 服务 器 的 地 址 ， 
将 该 DNS 服务 器 地 址 指向 恶意 的 DNS 服务 器 地 址 。 这 种 算 改 对 于 用 户 来 说 是 最 可 怕 
的 ， 一 旦 发 生 了 这 种 情况 ， 那 么 这 个 用 户 访问 的 每 一 个 域名 ， 都 可 能 会 被 解析 成 其 他 
恶意 地 址 。 

TP-Link 路 由 器 的 劫持 事件 ， 就 是 黑客 构造 了 一 个 恶意 Web 页 面 《 页 面 的 功能 是 自 
动 登录 路 由 器 并 修改 DNS 地 址 ), 然后 ,再 构造 一 个 URE 发 送 给 受害 者 ; 当 受害 者 点 击 
这 个 链接 的 时 候 就 访问 了 恶意 页 面 。 攻 击 要 想 成 功 的 前 提 是 黑客 必须 知道 TP-link 路 由 
器 的 登录 账号 和 密码 。 然 而 实际 上 ， 大 多 数 人 都会 使 用 TP-link 路 由 器 厂商 预 署 的 默认 
密码 ， 这 就 给 了 黑客 实施 攻击 的 机 会 ， 导 致 路 由 器 的 DNS 服务 器 的 IP 地 址 很 容易 被 算 
改 为 恶意 的 IP 地 址 。. 黑客 

rr i 
入 真实 域名 或 者 合法 网 站 地 址 ， 黑 客 就 可 将 其 重 区 | 
定向 到 一 个 恶意 网 站 上 。 一 旦 这 种 情况 发 生 , 对 QQ 
于 受害 者 来 说 后 果 是 非常 可 怕 的 。 受 害 者 访问 的 
每 一 个 域名 可 能 都 是 假 的 。 他 看 到 的 淘宝 页 面 可 
能 不 再 是 淘宝 页 面 ， 登 录 的 网 银 可 能 也 不 再 是 网 
银 ， 用 户 的 各 种 敏感 信息 都 会 受到 严重 威胁 ， 如 
图 2-28 所 示 。 

对 于 这 种 方式 ， 最 有 效 的 防御 办 法 就 是 用 户 
为 路 由 器 设置 安全 系数 高 的 密码 ， 然 后 定期 修改 
密码 。 另 外 ， 对 于 不 明 链 接 ， 我 们 也 建议 用 户 不 人 
要 随便 点 击 。 


2.5.3 ”授权 服务 器 的 修改 


直接 在 授权 服务 器 上 修改 域名 和 IP 地 址 的 映射 关系 是 最 直接 的 一 种 方式 。 黑 客 如 果 
使 用 这 种 方式 作为 攻击 的 手段 ， 需 要 通过 特殊 手段 获取 授权 服务 器 的 管理 员 权限 ， 此 方 
式 的 难度 系数 其 实 是 非常 大 的 。 

当然 ， 也 有 另 一 种 可 能 ， 就 是 出 于 某 种 特殊 目的 ， 管 理 员 直接 修改 授权 服务 器 上 的 
域名 和 IP 地 址 的 映射 关系 ， 这 种 类 型 比较 少见 ， 也 不 是 我 们 能 控制 的 ， 这 里 我 们 不 进行 
详细 介绍 。 


2.5.4 ”缓存 服务 器 的 修改 


缓存 服务 器 的 修改 就 是 常见 的 DNS 缓存 投 毒 ， 是 一 种 典型 的 DNS 攻击 ， 下 面 我 们 
一 起 来 了 解 一 下 黑客 如 何 算 改 缓存 服务 器 。 
前 文 也 提 到 过 : 缓存 服务 器 并 不 知道 域名 和 IP 地 址 的 映射 关系 , 一 旦 缓存 服务 器 从 
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授权 服务 器 获取 了 映射 关系 后 ， 会 将 其 在 内 存 中 存储 一 段 时 间 ， 直 到 记录 老化 。 老 化 时 
间 由 DNS 回应 报 文中 的 TTL 决定 。 在 这 个 有 效 期 内 如 果 再 有 客户 端 请 求 这 个 相同 域名 
的 解析 ,缓存 服务 器 就 会 直接 用 缓存 中 的 IP 地 址 进行 回应 。 记 录 老 化 以 后 ， 如 果 有 客户 
端 再 次 请 求 这 个 域名 时 ， 绥 存 服 务 器 就 会 重新 向 授权 服务 器 请 求 这 个 域名 的 解析 。 

如 图 2-29 所 示 ， 缓 存 投 毒 攻击 就 是 黑客 伪造 了 恶意 的 DNS 回应 报 文 ， 导 致 缓存 服 
务 器 无 意 中 将 恶意 的 域名 和 IP 地 址 映射 关系 存储 到 自己 的 缓存 中 。 当 客 户 端 再 通过 缓存 
服务 器 请 求 这 个 域名 解析 时 ， 就 会 被 指向 恶意 主机 。 





黑客 缓存 服务 器 


授权 服务 器 













黑客 向 缓存 服务 器 发 送 一 个 不 
存在 子 域名 的 请 求 






缓存 服务 器 本 地 无 缓存 项 ， 
向 授权 服务 器 发 起 查询 请 求 







@@) 黑 客 伪造 大 量 的 DNS 回应 
报 文 发 送 给 缓存 服务 器 ， 一 
旦 抢先 命中 Query ID ， 就 会 将 
其 置 入 缓存 服务 器 的 缓存 项 中 









@ 真 正 的 DNS 回应 报 文 到 达 
缓存 服务 器 却 被 丢弃 





图 2-29 ”缓存 投 毒 攻击 的 原理 


缓存 投 毒 攻击 过 程 如 下 。 

Q 黑客 向 DNS 缓存 服务 器 发 送 一 个 不 存在 的 子 域名 ， 请 求解 析 。 

@ 缓存 服务 器 查找 本 地 缓存 项 查 不 到 该 域名 ， 就 会 向 授权 服务 器 发 起 查询 请 求 。 

@) 在 授权 服务 器 回应 这 个 请 求 前 ， 黑 客 就 会 伪造 大 量 的 DNS 回应 报 文 发 向 缓存 服 
务 器 。 

为 了 达到 攻击 的 目的 ， 黑 客 伪造 的 DNS 回应 报 文 的 源 卫 地 址 必须 是 授权 服务 器 的 
源 IP 地 址 ， 目 的 端口 也 必须 是 缓存 服务 器 的 源 端口 ， 同 时 ，DNS 回应 报 文 的 Query ID 
和 DNS 请 求 报 文 的 Query ID 也 要 一 致 。 

源 他 地 址 和 目的 端口 都 很 好 伪造 ， 但 是 成 功 伪造 Query ID 是 有 一 定 难 度 的 。 因 此 
黑客 伪造 大 量 DNS 回应 报 交 时 ,~ 会 不 断 变 换 Query ID 字段 ， 可 能 就 会 有 一 个 Query ID 
字段 命中 DNS 请 求 报 文 的 Query ID。 一 旦 该 Query ID 先 于 授权 服务 器 被 发 送 给 缓存 
服务 器 ， 绥 存 服务 器 就 会 将 黑客 发 送 的 伪 解 析 IP 地 址 作为 解析 地 址 ， 保 存 到 本 地 的 组 ， 
存 表 中 。 

@ 之 后 ， 当 授权 服务 器 再 将 真正 的 回应 报 文 发 送 到 缓存 服务 器 时 ， 缓 存 服务 器 也 
不 会 接收 ， 直 接 将 其 丢弃 。 

在 DNS 缓存 服务 器 中 ， 如 果 仅 仅 伪 造 的 子 域名 的 解析 地 址 是 假 的 其 实 也 没有 多 大 
影响 。 毕 竟 黑 客 利用 投 毒 的 这 个 子 域名 通常 都 是 不 存在 的 ， 正 常客 户 端 也 不 会 请 求 这 个 
不 存在 的 子 域名 。 
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但 是 我 们 再 仔细 了 解 一 下 图 2-30 所 示 的 DNS reply 报 文 就 会 发 现 : 第 一 个 框 内 是 
对 该 子 域名 的 解析 地 址 ;第 二 个 框 内 则 是 主 域 名 ddos.com 所 在 的 DNS 授权 服务 器 和 
IP 地 址 的 对 应 关系 ， 授 权 服 务 器 在 回答 缓存 服务 器 请 求 时 ， 也 会 将 这 部 分 内 容 一 起 发 
送 过 去 ， 缓 存 服务 器 不 仅仅 会 存储 子 域名 的 解析 地 址 ， 还 会 将 主 域名 的 解析 地 址 一 并 
更 新 到 自己 的 缓存 列表 中 。 这 样 后 续 再 有 客户 端 请 求 这 个 主 域名 时 ， 也 会 一 并 被 指向 
虚假 的 卫 地 址 。 


445.445.145.145 146,146.146,146 ”DNS 5tandamdq 





136.146.146.146 145.145,145,145 DNS: 5tancard qt 


Frame 4 (121 byteson wiie 121bytescaptured) — 
由 FF Etlermet 11, src: 00:29:31:00:99:44, 0st 00; Se we | 8 
由 Internet protocol Src Addr 146.146.146. ,146 {146: 146,146.146), Dst Addr: 145.145.145.145 (ea 
由 User Datagram protocol Sre Port: doniain a 4110 (ao) 
昌 下 Domain Name System bop | . 人 
Transaction ID: 0x0003 








Be ghdloreon i sddr146.146, 
3 Name: gh idos,com 
Type: A (Host address} 





图 2-30 DNS s 回应 报 文 抓 包 


对 于 缓存 投 毒 攻击 ，Anti-DDoS 系统 采用 会 话 检查 模式 进行 防御 。 如 图 2-31 所 示 ， 
在 防御 过 程 中 ，Anti-DDoS 系统 检查 DNS 回应 报 文 的 会 话 五 元 组 信息 ( 源 IP 地 址 、 目 
的 全 地址 、 源 端口 号 、 目 的 端口 号 、 协 议 )，Query ID 和 域名 是 否 与 缓存 服务 器 发 出 的 
DNS 请 求 报 文 一 致 。 

缓存 投 毒 攻击 防御 流程 如 下 。 

@ 当 缓 存 服务 器 向 授权 服务 器 发 出 域名 查询 请 求 时 ，Anti-DDoS 系统 记录 会 话 信息 
及 请 求 报 文中 的 Query ID 和 域名 。 

@ Anti-DDoS 系统 收 到 回应 报 文 后 ， 需 检查 会 话 五 元 组 、 回 应 报 文 中 的 Query ID 
和 域名 与 请 求 报 文中 的 Query ID 和 域名 是 否 匹配 。 
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授权 服务 器 黑客 





DNS 回应 报 文 

CX 
| DNs a 应 报 文 6 
| DNs 回应 报 文 3 












图 2.31 缓存 投 毒 攻击 防御 流程 


。 如 果 报 文 命中 会 话 五 元 组 , 并 且 Query ID 和 域名 与 记录 的 请 求 报 文中 的 Query ID 
和 域名 匹配 ， 则 放行 该 报 文 。 


。 如 果 报 文 没有 命中 会 话 ， 则 被 丢弃 。 


如 果 该 报 文 命中 会 话 ， 但 是 其 域名 或 Query ID 与 请 求 报 文 不 匹配 ， 则 该 报 文 被 丢弃 ， 
同时 该 会 话 被 删除 ， 以 免 后 续 投 毒 报 文 完成 投 毒 攻击 。 
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HTTP 解析 

HTTP GET Flood 攻击 与 防御 

HTTP POST Flood 攻击 与 防御 


HTTP 慢 速 攻击 与 防御 
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3.1 热点 事件 解密 之 : 跨 站 脚本 攻击 事件 


3.1.1 事件 回顾 


2014 年 5 月 ， 日 本 某 CDN 服务 商 声称 ， 自 己 的 一 位 客户 的 服务 器 遭遇 了 某 视 频 网 
站 (化 名 “HH 站 ”) 发 起 的 DDoS 攻击 ， 期 间 总 共有 超过 2 万 的 网 民 通 过 H 站 向 这 位 客 
户 发 起 超过 2000 万 次 的 HTTP Get 请 求 。 如 此 知名 的 视频 网 站 ， 怎 么 会 甘 冒 不 匙 ， 公 然 
向 别人 发 起 攻击 呢 ? 经 过 深入 追究 ， 原 来 H 站 是 在 未 知 的 情况 下 被 黑客 利用 ， 成 为 攻击 
的 源头 ， 如 图 3-1 所 示 。 


黑客 利用 持久 性 XSS 漏洞 ， 通 


黑客 过 个 人 资料 中 的 头像 设置 在 
<img> 标签 中 注入 了 JS 代码 


黑客 在 高 点 击 率 的 热 
=| 门 视频 的 评论 区 大 量 
| 的 发 布 评论 ， 每 条 评 

| 论 者 附带 着 恶意 代码 




















[ 一 一 当 表 用户 观 看 黑客 证 的 这 样 一 来 每 个 观看 该 热门 视频 的 
代码 ， 导 致 用 户 正在 使 用 的 浏 和， 用 让 人 
览 器 被 强行 控制 ， 每 秒 强行 向 击 威力 越 大 
受害 者 发 起 GET 请 求 


图 3-1 跨 站 脚本 攻击 


有 人 句 话 叫 “ 趁 虚 而 入 ”，H 站 .上 恰好 就 有 这 么 一 个 漏洞 给 了 黑客 “打动 ”的 机 会 。 黑 
客 注册 一 个 该 网 站 账户 ， 在 该 账户 的 头像 中 注入 恶意 代码 〈JavaScript)， 然 后 用 这 个 账 
户 在 该 网 站 的 热门 视频 的 评论 区 发 布 大 量 的 评论 。 这 样 ， 每 条 评论 都 附带 着 恶意 代码 。 
任何 用 户 观 看 该 视频 时 ， 都 会 触发 恶意 代码 ， 因 而 控制 HH 站 中 茶 一 用 户 的 浏览 器 。 

那么 这 段 恶意 代码 干 了 什么 呢 ? 简单 说 ， 这 段 代 码 就 是 在 用 户 不 知情 的 情况 下 ， 定 
时 向 受害 者 发 起 HTTP 访问 请 求 。 这 个 定时 器 设 定 的 时 间 为 每 秒 发 起 一 次 请 求 。 

也 就 是 说 ， 某 用 户 观 看 H 站 视频 时 ， 他 的 浏览 器 会 每 秒 向 受害 者 发 起 一 次 请 求 。 如 
果 该 用 户 观 看 30 分 钟 的 视频 ， 他 就 会 向 受害 者 发 起 1800 次 请 求 。H 站 这 样 的 大 型 视频 
网 站 ， 同 时 在 线 观 看 热门 视频 的 用 户 都 是 成 干 上 万 级 别 的 ， 黑 客 在 多 个 热门 视频 下 发 布 
海量 评论 ， 轻 松 获得 无 数 “ 肉鸡 ”。 攻 击 效果 可 想 而 知 了 。 

下 面 我 们 就 分 析 一 下 这 次 攻击 事件 。 在 分 析 之 前 , 我 们 先 简单 回忆 下 HTTP 的 基础 。 
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3.1.2 ”HTTP 基本 知识 


HTTP (HyperText Transfer Protocol， 超 文本 传输 协议 )， 它 最 基本 的 交互 流程 如 


图 3-2 所 示 。 
Web 服务 器 










SYN 
SYN-ACK 
ACK 
HTTP 请 求 : Get 
HTTP 回应 : 200 OK 


FIN 
FIN-ACK 
FIN 
FIN-ACK 











图 3-2 HTTP 报 文 交互 过 程 
完成 TCP 三 次 握手 后 ， 客 户 端 向 服务 器 发 起 HTTP 请 求 。 正 常情 况 下 ， 服 务 器 回应 
200 OK， 在 应 答 中 添加 应 答 长 度 ， 然 后 开始 传输 数据 。 
HTTP 还 有 一 种 重 定向 的 交互 流程 ， 如 图 3-3 所 示 。 
客户 端 Web 服务 器 





SYN 
SYN-ACK 
ACK 











HTTP 请 求 : Get (过 期 URI) 
HTTP 回应 : 302Moved Temporarily (新 URL) 
HTTP 请 求 : Get (新 URI) 
HTTP 回应 : 200 OK 











FIN 





FIN-ACK 
FIN 
FIN-ACK 





图 3-3 HTTP 重 定 向 交互 过 程 
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完成 TCP 三 次 握手 后 ， 客 户 端 向 服务 器 发 起 HTTP 请 求 。 如 果 客 户 端 请 求 的 这 个 
URL 是 过 期 的 ， 服 务 器 就 会 回应 客户 端 302 重 定 向 报 文 ， 并 携带 新 的 URL 地 址 。 客 户 
端 再 重新 向 新 的 URL 地 址 发 起 请 求 ， 服 务 器 回应 200 OK， 并 开始 传输 数据 。 


3.1.3 ”华为 Anti-DDoS 系统 的 解决 方案 


HTTP 是 一 种 基于 TCP 的 应 用 层 协 议 。HTTP 类 的 攻击 ， 它 最 高 效 的 防御 方式 就 是 
源 认证 方式 进行 校 验 。 华 为 Anti-DDoS 解决 方案 可 以 感知 TCP 和 HTTP， 其 也 可 以 针对 
攻击 源 进 行 多 层级 的 源 认 证 和 校 验 。 

源 认 证 体系 主要 有 以 下 3 个 层面 。 

(1) TCP/P 源 认证 

TCP/IP 源 认证 一 般 用 于 TCP 三 次 握手 还 没 建立 成 功 前 ， 验 证 攻击 源 的 TCP/IP 是 
否 真实 可 信 ， 比 如 IP 源 认证 是 对 IP 层面 的 校 验 ， 认 证 这 个 源 是 不 是 真实 存在 的 ; TCP 
代理 和 首 包 丢弃 校 验 是 对 于 TCP 栈 层面 的 校 验 ， 用 于 判断 是 否 是 这 个 源 发 出 的 真实 
请 求 。 

很 显然 上 述 攻击 事件 已 经 完成 了 TCP 三 次 握手 ， 不 属于 TCP/IP 范畴 ， 关 于 TCP/IP 
源 认 证 的 防御 机 制 ， 我 们 会 在 后 面 详细 介绍 ， 本 节 着 重 介绍 应 用 层 源 认证 。 

(2) 应 用 层 源 认证 

如 果 “ 肉 鸡 ” 使 用 工具 调用 真实 的 TCP/IP 发 动 攻击 ， 则 TCP/IP 源 认证 无 法 识别 是 
否 是 攻击 。 我 们 必须 启用 应 用 层 源 认证 比如 利用 HTTP 302 重 定向 请 求 , 认证 客户 “ 浏 
览 器 ”是 否 可 和信， 如 图 3-4 所 示 。 | 

(3) 用 户 源 认证 

客户 端 是 真实 的 基础 上 ， 进 一 步 验证 是 否 由 真实 用 户 发 出 的 请 求 ， 而 不 是 僵尸 浏 
览 器 被 黑客 控制 强制 发 出 的 请 求 。 针 对 这 种 情况 ， 终 极 的 手段 就 是 ， 人 机 交互 ， 输 入 验 
证 码 和 图 片 运算 。 验 证 码 机 制 就 是 对 登录 用 户 的 一 次 安全 验证 ， 判 断 一 下 是 不 是 真实 用 
户 发 起 的 请 求 。 如 果 是 DDoS 工具 发 起 的 请 求 ， 则 无 法 自动 响应 验证 请 求 ， 如 图 3-5 
所 示 。 、 
我 们 再 回 到 前 面 的 攻击 事件 上 来 。 攻击 报 文 是 由 浏览 器 发 出 的 请 求 , 没有 人 为 参 
与 ， 源 卫 是 真实 存在 的 ， 浏 览 器 也 是 真实 存在 的 ， 但 是 请 求 行为 是 虚假 的 。 在 防御 
Anti-DDoS 时 ， 它 就 要 识别 出 HTTP 请 求 中 ， 哪 些 是 真实 的 用 户 发 送 的 请 求 ， 哪 些 是 伪 
尸 浏览 器 发 的 请 求 。 浏 览 器 具有 完整 的 HTTP 校 验 机 制 ， 对 于 302 重 定向 报 文 ， 浏 览 器 
可 以 自行 完成 交互 过 程 ， 无 须 用 户 参与 。 因 此 ，302 重 定向 方式 识别 不 了 僵尸 浏览 器 ， 
只 有 通过 验证 码 这 种 需要 人 机 交互 的 方式 来 识别 攻击 报 文 。 

对 于 HTTP 攻击 防御 ， 第 二 层 提 到 的 302 重 定向 和 第 三 层 的 验证 码 方式 都 是 非常 有 
效 的 针对 虚假 源 攻 击 的 防御 手段 。 只 要 客户 端 具备 完善 的 302 重 定向 机 制 ， 就 可 以 通过 
302 重 定向 源 探测 方式 识别 虚假 源 。 

还 有 一 种 特殊 情况 ， 网 络 中 有 HTTP 代理 服务 器 时 ， 只 要 有 一 次 源 认 证 通过 ， 
Anti-DDoS 就 会 将 代理 服务 器 卫 地 址 加 入 白 名 单 。 黑 客 如 果 利 用 代理 服务 器 IP 绕 过 源 
认证 ， 就 会 导致 防御 失败 。 这 种 情况 下 ， 源 认证 功能 就 要 配合 代理 检查 功能 一 起 使 用 ， 
检测 HTTP 请 求 是 否 为 通过 代理 发 出 的 。 如 果 是 ，Anti-DDoS 会 从 HTTP 报 文中 获取 请 
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求 者 的 实际 瑟 地址， 并 将 通过 认证 的 真实 IP 地 址 和 代理 服务 器 人 P 地 址 加 入 白 名 单 ， 后 
续 只 有 此 实际 源 IP 地 址 发 送 的 报 文才 能 直接 通过 ， 其 他 源 IP 发 送 报 文 时 ，Anti-DDoS 
会 对 其 进行 源 认 证 ， 达 到 防御 效果 。 


@ 黑客 用 伪造 源 IP 向 Web 服务 器 发 起 攻击 ，Anti-DDoS 对 到 达 服 务 器 的 流量 进行 统计 ， 
流量 达到 告警 益 值 后 ， 触 发 防御 机 制 


























攻击 目标 


正常 用 户 





@ 启动 防御 后 ，Anti-DDoS 拦截 HTTP 请 求 报 文 ， 并 反弹 重 定向 到 客户 端 ， 如 果 是 虚假 源 ， 
则 不 会 响应 重 定向 。 如 果 是 真实 源 ， 浏 览 器 会 自动 完成 重 定向 过 程 ， 无 需 人 为 参与 


























@ Anti-DDoS 将 正常 响应 重 定向 的 客户 端 加 入 白 名 单 ， 后 续 此 客户 端 发 送 的 HTTP 请 求 
可 直接 通过 ， 送 到 Web 服务 器 














HTTP 请 求 : wwwXxxxx.com 
HTTP 回应 


















































图 3-4 HTTP 源 认证 
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@ Anti-DDoS 拦截 HTTP 请 求 报 文 ， 并 反弹 验证 码 到 客户 端 。 如 果 是 僵尸 客户 端 ， 


则 不 会 响应 验证 码 





攻击 目标 


HTTP 请 求 : www XXXxxcom 本 。 > 
HTTP 回应 : 请 输入 验证 码 ”WW 0 











© 攻击 目标 


J HTTP 请 求 : wwwXxXx X.com 
[i HTTP 回应 : 请 输入 验证 码 
正确 输入 验证 码 








@ Anti-DDoS 将 正确 输入 验证 码 的 客户 端 加 入 白 名 单 ， 后 续 此 客户 端 发 送 的 HTTP 请 求 
直接 通过 ， 送 到 Web 服务 器 


| 2 





9 攻击 目标 





图 3-5 验证 码 认证 


3.2 HTTP 解析 


大 家 可 能 在 想 ， 上 网 看 视频 居然 会 触发 DDoS 攻击 ， 而 每 一 个 观看 视频 的 人 在 不 知 
不 觉 中 就 变 成 了 黑客 的 帮凶 。 我 们 只 有 了 人 解 攻击 才能 更 好 地 防御 。 

3.1 节 讲 述 的 事件 中 ， 黑 客 利用 视频 网 站 的 XSS 漏洞 (Cross Site Scripting， 跨 站 脚 
本 攻击 六 “劫持 ”观看 视频 者 的 流量 ， 并 向 受害 者 发 起 海量 的 HTTP 请求。 最终， 数 以 
千 万 计 的 HTTP 请 求 形 成 了 一 次 规模 巨大 的 DDoS 攻击 ， 使 受害 者 无 法 正常 上 网 。 

攻击 源头 和 攻击 方式 都 与 HTTP 有 关 。HTTP 是 当前 使 用 最 广泛 的 协议 ， 我 们 浏览 
网 页 、 看 新 闻 、 查 资料 都 是 HTTP 在 背后 默默 地 工作 。 


3.2.1 HTTP 请 求 报 文 


HTTP 是 一 种 请 求 /响应 式 的 协议 ， 客 户 端 向 服务 器 发 起 请 求 ， 服 务 器 收 到 请 求 后 ， 
向 客户 端 返回 响应 信息 。HTTP 报 文 分 为 请 求 报 文 和 响应 报 文 , HTTP 请 求 报 文 的 格式 如 
3-6 所 示 。 
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— a 


图 3-6 HTTP 请求 报 文 格式 
我 们 结合 HTTP 请 求 报 文 的 抓 包 信息 来 学 习 各 个 字段 的 含义 ， 如 图 3-7 所 示 。 















ee 和 index.inall 一 一 一 请 求 数据 
图 3-7 HTTP 请 求 报 文 抓 包 


HTTP 请 求 报 文 由 请 求 行 、 请 求 头 部 、 空 行 和 请 求 数据 4 个 部 分 组 成 ， 各 部 分 的 具 
体 解释 如 下 。 

(1) 请 求 行 

请 求 行 由 请 求 方法 字段 、URL 字段 和 协议 版 本 字段 组 成 ， 这 3 个 字段 之 间 使 用 空格 
分 隔 ， 最 后 由 回 车 符 \+ 换 行 符 \mn 结束 。 例 如 ，GET /index.html HTTP/1.1wn。 这 里 顺便 
提 一 下 URL 和 URI，URL 全 称 是 (Uniform Resource Locator， 统 一 资源 定位 )，URI 全 
称 是 (Uniform Resource Indentifier， 统 一 资源 标识 )。 一 般 情况 下 我 们 看 到 浏览 器 处 理 的 
是 URL， 而 在 HTTP 规范 中 会 使 用 URI。 

请 求 行 中 值得 关注 的 是 请 求 方法 字段 ， 常 用 的 请 求 方法 有 GET， 它 表示 客户 端 从 服 
务 器 获取 数据 , 即 要 求 服务 器 将 URL 定位 的 资源 放 在 响应 报 文中 , 返回 给 客户 端 ; POST 
表示 客户 端 向 服务 器 提交 数据 ， 由 服务 器 进行 处 理 ， 如 表单 提交 、 账 号 登录 等 操作 使 用 
的 就 是 POST 请 求 方法 。 

GET 和 POST， 这 两 种 请 求 方法 经 常会 被 用 来 进行 DDoS 攻击 ， 例 如 在 H 站 攻击 事 
件 中 ， 广 大 “帮凶 ”使 用 的 就 是 GET 请 求 方法 ， 它 能 向 受害 者 发 起 海量 的 HTTP 请 求 。 
除了 这 两 种 请 求 方法 外 ，HTTP 还 支持 HEAD、PUT、OPTIONS、DELETE 等 请 求 方法 ， 
此 处 不 再 著述 。 

(2) 请 求 头 部 

请 求 头 部 由 “关键 字 / 值 ”对 组 成 ， 每 行 一 对 ， 关 键 字 和 值 之 间 使 用 英文 “:” 分 隔 ， 
最 后 由 回 车 符 + 换 行 符 结束 。 请 求 头 部 中 可 以 包含 多 个 类 型 的 关键 字 ， 这 些 关 键 字 用 于 
通知 服务 器 有 关于 客户 端 请 求 的 信息 。 

(3) 空 行 

空 行 里 面包 括 回 车 符 和 换行 符 ， 它 表示 请 求 头 部 结束 ， 接 下 来 为 请 求 数据 部 分 。 这 
一 行 必 不 可 少 ， 它 用 来 告知 服务 器 以 后 不 再 有 请 求 头 ， 如 果 服 务 器 没有 收 到 这 个 空 行 则 
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一 直 保 持 连 接 。 
(4) 请 求 数据 
请 求 数据 是 HTTP 报 文 的 载荷 ， 即 HTTP 报 文 要 传输 的 内 容 。 请 求 数据 部 分 是 可 选 
的 ， 请 求 方法 是 GET 时 ，HTTP 报 文中 就 不 包含 请 求 数 据 ; 请 求 方法 是 POST 时 ，HTTP 
报 文中 包含 请 求 数据 。 


3.2.2 HTTP 响应 报 文 


了 解 HTTP 请 求 报 文 的 格式 后 , 我 们 看 一 看 HTTP 响应 报 文 的 格式 ， 如 图 3-8 所 示 。 


换行 符 | 一 状态 生 


一 > 响应 头 部 
— ef 


| 一 = 响应 数据 





图 3-8 HTTP 响应 报 文 格式 
我 们 结合 HTTP 响应 报 文 的 抓 包 信息 来 学 习 各 个 字段 的 含义 ， 如 图 3-9 所 示 。 






































日 
白 
日 EXPRerr XLS (Cnaty 5eguencels HTTR/I 1 200 9Ku 人 人、 
[Message: HTTP/1.1 200 OK\r\n] 
[severity level: chat] Ck 抓 他 大 对 状态 
[Group: sequence] 行 的 展开 显示 


Request Version: HTTP/i1.1 

status Code: 200 

Response Phrase: OK 
Content-Type: text/html\r\n 
册 Content-Length: 4\r\n 

Accept-Ranges: bytes\r\n 

Last-Modified: Fri, 28 Aug 2015 17:35:26 GMT\r\n 

Connection: Keep-Alive\r\n 


[一 YN | 一 空 行 
nae-based text data ZTE ] -一 响应 数据 
图 3-9 _ HTTP 响应 报 文 抓 包 


HTTP 响应 报 文 由 状态 行 、 响 应 头 部 、 空 行 和 响应 数据 4 个 部 分 组 成 ， 各 部 分 的 具 
体 解释 如 下 。 

(1) 状态 行 

状态 行 由 协议 版 本 字段 、 状 态 码 字段 和 状态 码 描述 字段 组 成 ， 这 3 个 字段 之 间 使 用 
空格 分 隔 ， 最 后 由 回 车 符 + 换 行 符 结束 。 例 如 ，HTTP/1.1 200 OK 。 

状态 行 中 值得 关注 的 是 状态 码 字 段 ， 常 用 的 状态 码 有 200、302、307、404、408。 
200 表示 服务 器 响应 成 功 ，302 表示 请 求 方法 为 GET 时 ， 服 务 器 告知 客户 端 需要 重 定向 
到 新 的 URL; 307 表示 请 求 方法 为 POST 时 , 服务 器 告知 客户 端 需要 重 定向 到 新 的 URL; 
404 表示 服务 器 无 法 找到 所 请 求 URL 对 应 的 资源 ，408 表示 请 求 超时 ， 客 户 端 需要 重新 
提交 请 求 。 

(2) 响应 头 部 

响应 头 部 与 请 求 头 部 类 似 ， 也 是 由 “关键 字 / 值 ”对 组 成 ， 每 行 一 对 ， 关 键 字 和 值 之 
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间 使 用 英文 “:” 分 隔 ， 最 后 由 回 车 符 + 换行 符 结束 。 响 应 头 部 中 可 以 包含 多 个 类 型 的 关 
键 字 ， 这 些 关键 字 用 来 通知 客户 端 有 关于 服务 器 响应 的 信息 。 

(3) 空 行 

响应 头 部 的 后 面 也 会 有 一 个 空 行 , 它 里 面包 括 回 车 符 和 换行 符 , 表示 响应 头 部 结束 ， 
接 下 来 为 响应 数据 部 分 。 

(4) 响应 数据 

响应 数据 是 服务 器 返回 给 客户 端的 信息 ,图 3-9 中 显示 的 响应 数据 是 一 个 HTML 网 
页 ， 其 也 可 以 是 图 片 、 视 频 等 信息 。 

上 文 我 们 介绍 了 HTTP 报 文 的 格式 ， 并 对 其 中 的 关键 字段 进行 了 解释 ， 下 面 我 们 再 
来 了 解 一 下 HTTP 的 基本 交互 流程 。 我 们 提 到 过 ，HTTP 是 二 种 请 求 /响应 式 的 协议 ， 客 
户 端 与 服务 器 建立 TCP 三 次 握手 后 ， 客 户 端 向 服务 器 发 出 HTTP 请 求 ， 服 务 器 向 客户 端 
返回 HTTP 响应 ， 在 一 来 一 回 之 间 完 成 了 数据 的 传输 ， 如 图 3-10 所 示 。 


Web 服务 器 








FIN-ACK 
图 3-10 HTTP 基本 交互 流程 
学 习 完 前 面 的 内 容 ， 相 信 大 家 对 HTTP 有 了 更 进一步 的 认识 。 目 前 Internet 上 运行 
着 多 种 基于 HTTP 的 Web 信息 系统 ， 这 些 Web 信息 系统 存在 的 安全 问题 必须 重视 。 


回 到 DDoS 攻击 上 来 , 针对 HTTP 的 DDoS 攻击 主要 有 利用 GET 和 POST 请 求 方法 
的 Flood 类 攻击 、 利 用 HTTP 实现 机 制 的 慢 速 类 攻击 。 


3.3 HTTP GET Flood 攻击 与 防御 
HTTP GET Flood 攻击 的 原理 很 简单 , 攻击 者 利用 攻击 工具 或 者 操纵 僵尸 主机 ,向 目 


标 服务 器 发 起 大 量 的 HTTP GET 报 文 , 请 求 服 务 器 上 涉及 数据 库 操作 的 URI 或 其 他 消耗 
系统 资源 的 URI， 造 成 服务 器 资源 耗 尽 ， 无 法 响应 正常 请 求 。 
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华为 Anti-DDoS 系统 防御 HTTP GET Flood 攻击 的 常用 手段 是 源 认 证 ， 这 种 防御 方 
式 适 用 于 以 客户 端 为 浏览 器 的 场景 ， 因 为 浏览 器 支持 完整 的 HITP， 可 以 正常 回应 
Anti-DDoS 系统 发 出 的 探测 报 文 。 源 认证 最 常用 的 方式 是 302 重 定向 认证 。 


3.3.1 302 重 定向 认证 


302 重 定向 认证 的 原理 是 Anti-DDoS 系统 代替 Web 服务 器 向 客户 端 响应 302 状态 
码 〈 针 对 GET 请 求 方法 的 重 定 向 )， 告 知客 户 端 需要 重 定向 到 新 的 URL， 以 此 来 验证 
是 否 是 真实 客户 端 ， 如 图 3-11 所 示 。 真 实 客户 端的 浏览 器 可 以 自动 完成 重 定向 过 程 ， 
通过 认证 ; 虚假 源 或 者 一 般 的 攻击 工具 没有 实现 完整 的 HTTP,， 不 支持 自动 重 定向 , 无 
法 通过 认证 。 
Web 服务 器 











伪造 源 匡 








HTTP 请 求 : testl.XXXX.com @ 
一 一 


HTTP 回应 : 请 访问 test2.XXXX.com 
攻击 源 没有 再 次 请 求 










三 次 握手 
HTTP 请 求 : testl. XXXX.com 








HTTP 回应 : 请 访问 test2. XXXX.com 
关闭 连接 








三 次 握手 
HTTP 请 求 : test2.XxXXX.com 





| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 


HTTP 回应 : ‘请 访问 testl.XXXX.com 
rp rt Oo dA 
关闭 连接 








| 

三 次 握手 | 

HTTP 请 求 : testl.XXXX.com 
HTTP 回应 | 


图 3-11 302 重 定向 认证 


当 连 续 一 段 时间 内 去 往 目 标 Web 服务 器 的 HTTP GET 请 求 报 文 超过 告警 疮 值 后 ， 
Anti-DDoS 系统 启动 源 认 证 机 制 。 源 认证 机 制 启 动 后 ，Anti-DDoS 系统 将 会 代替 Web 
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服务 器 与 客户 端 建立 TCP 三 次 握手 。Anti-DDoS 系统 拦截 HTTP 请 求 ， 代 替 Web 服务 
器 回应 302 状态 码 ， 将 客户 端的 访问 重 定向 到 一 个 新 的 URI。 如 果 这 个 源 是 虚假 源 ， 
或 者 不 支持 完整 HTTP 的 攻击 工具 ， 不 会 向 新 的 URI 发 起 请 求 。 如 果 这 个 源 是 真实 客 
户 端 ， 则 会 向 新 的 URI 发 起 请 求 。Anti-DDoS 系统 收 到 请 求 后 ， 将 该 客户 端的 源 卫 地 
址 加 入 白 名 单 。 加 入 白 名 单 后 ，Anti-DDoS 系统 会 再 次 回应 302 状态 码 ， 将 客户 端的 
访问 重 定向 到 一 开始 访问 的 URI。 后 续 这 个 客户 端 发 出 的 HTTP 请 求 报 文 命中 白 名 单 
直接 通过 。 

我 们 结合 一 组 抓 包 信 息 来 看 一 下 交互 报 文 的 具体 情况 。 

@ Anti-DDoS 系统 代替 Web 服务 器 与 客户 端 建立 TCP 三 次 握手 ， 然后 客户 端 发 起 
访问 请 求 ， 如 图 3-12 所 示 。 , 


.4428127. 尖 让 名 
4730227 . 驴 据 时 54 srt > hrrtp [FIN, ET Seq-4193098382 Ack=225665198 Win=65340 Lena0 
47315156 党 7. 60 hrrp > Str [ACK] seq-225665198 Ack=4t193098383 winn65340 Len=0 
4835C27. 坟 和 i 家 66 smart-1m > http [SYN] 5eq-584425726 win=65535 LenmO NSS-1460 wS=2 SACK_PERM=1 
.48383156 了 27. 县 苑 六 66 hrrp > smart-lm [SYN, XK] 5eq-41115624 Ack=584425727 WirmO Lenm0 MSS~1460 WS~2 SACK_PERM=L 
.4838427. 测 网 54 smart-lm > http [ACK] Seq=564425727 Ack=41115625 win=65536 Len=0 
.48401156r Wr hd 60 frcP window Vpdate] http > smart-1m (ACX] Seq~41115625 ack=584425727 Win=2920 Len-0 
533 27 , 宕 , 盯 435 GET /?dbiekfcjekngdjec MTTP7I. 工 
,4955415€ ' 起 232 MTTP/1,1 302 Redirct 
.4955727 54 smart-Im > http [ACK] Seq=584426108 Ack=41115804 Win=65358 Len=O 
入 54 smart-Jm > htrtp [FIN, ACK] Seq~584426108 Ack=41115804 Winm65358 Len~0 
[cK] seora11 PW ] 


3 ELherner 11, Sre etre 3 


Irterrert prorocol, Src: 27- 交 
Transmission Conrrol prorocol 


Connecrion; keep-alive\r\n 
User-Agent; Mozilla/5,0 (windows NT 5.2) Applewebkit/537,1 (KHTML, Tike Gecko) chrome/21.0.1180,83 safari/537.1\r\n 
Accepr: text/html, application/xhtmi+xm], application/xel; qe0.9,°/":pe0, 8\r\n 

Accept-Encodfng: gzip,deflate,sdch\r\n 

Accept -Languag 

Accept-Charser: 

cm 





图 3-12 TCP 三 次 握手 抓 包 


@ Anti-DDoS 系统 代替 Web 服务 器 回应 302 状态 码 ; 希望 客户 端 访问 一 个 新 的 
URI 地 址 “http://156***/9dbiekfcjekngdjec”， 然后 双方 关闭 连接 ， 如 图 3-13 所 示 。 


66 http > stt [SYh, XK] Seq=225655001 ACckm4193098018 win Lenr0 MS5-1460 5n2 SACK_PERis 
54 stt > hrtp [ACK] Seqm4193098018 Ack=225665002 winn65536 Len=0 
60 eg window Updare] http > stt [ACK] Seqr225655002 Ack=4193098018 win-2920 Lenr0 


rt i 
yr: tp ET Ack=225665198 Winm65340 Len=0 
8 0.4730227 ,期 拔 氏 54 srt > http [FIN, ACK] Seq-4193098382 Ack=225665198 Win=65340 Lenn0 
~ 9 .0.47318156 向 委 60 hrrp > stt [ACK] Seq225665198 Ackw41930983383 Winm65340 Lenm0 
10 0.4835C27. 沪 总 56 Smarr-1m > htrp [SYN] Seq=584425726 win~65535 Lenn0 MSS-1460 WS~2 SACK_PERM=1 
11 0.48383156. 潮 ' 攻关 27. 提 准 认 56 http > Smarr-18 [SYN, MCK] Seq=41115624 Ack=584425727 Win=0 Len-0 MSS-1460 WS=2 SACK_PERM1 
12 0.4838427. 认 天 54 Smart-1m > htrp [ACK] Seq=584425727 Acke41115625 Winm65536 Len=0 
13 0.48401156, 测 | 生 60 [TcP window update] trtp > smarr-1a [ACK] Seq-41115625 Ack-584425727 winr2920 ten-O 
14 0.4953327, 导 入 435 GET /?dbiekfcjekngdjec HTTP/1.1 
15 0.49554156 请 ly 1 302 Redirct 


加 
| Etherner 了 Sre: uaneisy_0d 
| Protocol, Src: 156. 


Content - Type: “text/henl; charset-trF-aiNrsn 
Content -Length: ON 


f 73 65 0d Oa 5 
51 63 58 65 0d 


和 Ca 
6f 5e 74 65 5e 
74 2f 68 74 
55 54 46 2d 
sc 65 Ge 67 





图 3-13 ”302 状态 码 抓 包 
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@) 真实 客户 端 会 再 次 与 Anti-DDoS 系统 建立 TCP 三 次 握手 ， 并 向 新 的 URI 
“http://156***/3dbiekfcjekngdjec” 发 起 请 求 ， 如 图 3-14 所 示 。 
















66 stt > htrp [SYN] Seqet193 7 win=65535 Len=O [ET WS SACK_PERM=L 
566 htrp > stt [SYN, ACK] Seq-225665001 Ack=4193098018 Win~0 Len=0 MSS-1460 WS~2 SACK_PERM=L 
54 StE > htrp [ACK] Seq=4193098018 Ack~225565002 Win=65536 Lenr0 

60 [Tcp window Update] http > stt [ACK] Seq-225665002 Ack~4193098018 winm2920 Lenr0 

418 GET / HTTP/L.1 

249 HTTP/1.1 302 Redirct 

54 stt > http [ACK] Seq=4193098382 Ack=225665199 winw65340 LenmO 

54 stt > http [FiN, ACK] Seq=4193098382 Ack=225665198 Win>65340 LermO0 

9 G5198 Ack=4193098383 win=65340 Len=O 

65 SarE-Tm > http [SYN] 5eq594475726 wir=55535 LencO M55-1460 WSI SACK_PERM-I 
0 hgtP > spare Yn (SyN, ACK] Santll1 39624 AckeS84425727 Wn en M55-1460 VE? scx Prd 








0. 0000C 27. 
9.00027156 蒋 于 
0.0002827. 攻 各 

0.0004E156 wi 意 
0.4425527. 哇 半 . 汉 
0.44275156: 5 要 
0 
0. 
9. 
0. 
0. 





.4281 
.4730227 . 粮 闫 寞 
7 315155 这 



































54 Smart-1m > http [ACK] Seq-584426108 Ack=41115804 winc6535 和 8 Lenz0 


4955727- 和 二 
54 smart-]m > htrp [FIN, ACK] Seq=584426108 Monk1415904 Win=65358 Lenn0 


0.4967627 . 舌 光 : 到 










Accept: text/html ,application/xhtml+xnl,application/xml; qe0.9 
Accept-Encoding: gzip,deflare,sdch\r\n 












TML，11k e Gecko) 
31 2¢ 302e 31 3138 Chrome/ 21.0.118 
72 69 2f 35 33 37 Ze 0.83 Saf ari/$37. 







Be 67 75 61 67 65 33 Meceprit 
到 71 3 02 3800 en-ts,e 


图 3-14 重新 建立 TCP 三 次 握手 抓 包 


@ Anti-DDoS 系统 收 到 请 求 后 ， 判 定 该 客户 端 为 真实 客户 端 ， 并 将 其 IP 地 址 加 入 
白 名 单 。Anti-DDoS 系统 会 再 次 回应 302 状态 码 ， 将 客户 端的 访问 重 定向 到 一 开始 访问 
的 URI， 然 后 双方 关闭 连接 ， 如 图 3-15 所 示 。 该 客户 端 再 发 出 HTTP 请 求 报 文 就 可 以 命 
中 白 名 单 直接 通过 了 。 


aun eNom 





rcp 
.00027156: 关注 可 让 27. Tp 66 http > stt [syu, Xk] Seq-225665001 Ack~#193098018 win-0 Len0 M55-1460 ws-? SACK_PERM=L 
.9002zE27. 注 固 去 TCP 54 SEE > htrp [ACK] Seq=4193093018 Ack=225665002 win=65536 Ler0 
.0004E 56 7 TcP 60 {Tcp window updare] http > stt [ACK] Seq-225665002 Ack=4193098018 win-2920 Len~0 
.4425C27. 洲 稻 儿 EL HTTP 418 GET / HTTP/1.1 
.4427815E 营养 计 27. HTTP 249 HTTP/1.1 302 Redirct 
4428127.50w 间 Tp 54 stt > herP [ACK] Seq4193098382 Ack=225665198 win=65340 Len~m0 
.4730227. 洲 入 TCP 54 Stt > hrtp [FIN, MCK]} Seq-4193098382 Ack=225665198 winn65340 Ler=0 
.47318156， 27. Tp 6D http > stt [ACK] Seq=225665198 Ack=4193098383 Win=65340 Len=0 
4835527 .0 nr 吉 EL 66 smart-Im > http (SYN] 5eq=584425725 win=m65535 Len=0) MSS~1460 WS~2 SACK_PERMml 
483535Gs 测 7 要 。 芝 27。 66 hetp > smart-Jw [SYN, ACK] Seqm41i15624 Ack=584425727 wirm0 Le M55m1460 WSn2 SACK_PERM=l 
.438427 .二 54 smart-Im > http [ACK] Seq-584425727 Ack-41115625 win-65535 Lenm0 
i 50 [Tcp window Update] http > smart-lm [ACK] Seq~41115625 Ackr584425727 Winm2920 Lenr0 


i 
tp [ACK] Seqe584426108 Ack=41113504 Win<65358 Len=0 
54 smart-lm > http [FIN, MK] Seqm584426105 Ack=41115804 Win=65358 LenmO 


的 rherner 让 ae gd: 6s7e 00in2mnsbe:00: Da ae 


Dot 27. Eee 


Content-Type: text/htaml; charser=UTF-8;\ 
Content -Length 





图 3-15 Anti-DDoS 系统 再 次 重 定向 抓 包 


除了 302 状态 码 重 定向 方式 ， 还 有 一 种 META Refresh 重 定 向 方式 。META Refresh 方 
式 是 通过 修改 HTML 页 面 来 实现 重 定向 ， 具 有 局 限 性 ; 302 状态 码 方式 是 利用 HTTP 规范 
来 实现 重 定向 ， 适 用 性 更 好 。 因 此 302 状态 码 方式 是 目前 使 用 比较 广泛 的 重 定向 方式 。 

另外 还 有 一 种 情况 , 网络 中 存在 HTTP 代理 服务 器 时 ， 只 要 代理 服务 器 IP 地 址 通过 
源 认 证 加 入 白 名 单 , 僵尸 主机 就 可 以 利用 代理 服务 器 卫 地 址 绕 开源 认证 , 导致 防御 失效 。 
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针对 这 种 情况 ，Anti-DDoS 系统 提供 了 代理 检测 功能 。 开 启 该 功能 后 ，Anti-DDoS 系统 
会 检测 HTTP 请 求 是 不 是 通过 代理 服务 器 发 出 的 。 如 果 是 ，Anti-DDoS 系统 会 从 HTTP 
报 文中 获取 请 求 者 的 实际 卫 地 址 进行 源 认 证 ， 通 过 认证 后 才 加 入 白 名 单 。 

302 重 定向 认证 利用 HTTP 响应 报 文中 的 302 状态 码 来 实现 对 客户 端的 源 认证 功能 ， 
但 是 如 果 攻 击 工 具 实 现 了 完整 的 HTTP， 或 者 像 H 站 攻击 事件 中 攻击 源 都 是 真实 的 浏览 
器 这 种 情况 ， 会 导致 302 重 定向 认证 方式 失效 。 此 时 ，Anti-DDoS 可 以 使 用 源 认证 中 的 
增强 方式 ， 即 验证 码 认 证 。 


3.3.2 ”验证 码 认 证 


验证 码 认 证 的 原理 是 Anti-DDoS 系统 要 求 客户 端 输 六 验证 码 ， 以 此 来 判断 请 求 是 否 
由 真实 的 用 户 发 起 ， 而 不 是 由 攻击 工具 或 僵尸 主机 发 起 ， 如 图 3-16 所 示 。 因 为 攻击 工具 
或 僵尸 主机 无 法 自动 响应 随机 变化 的 验证 码 ， 所 以 能 够 有 效 地 防御 攻击 。 


Web 服务 器 





HTTP 请 求 1 
HTTP 请 求 
HTTP 请 求 

















三 次 握手 
HTTP 请 求 : testlL Xxxxcom 

HTTP 回应 : 请 输入 验证 码 9 

攻击 源 不 回应 验证 码 





三 次 握手 
HTTP 请 求 : testl.XXXX.com 








t 
| 
| 
| 
| 
| 
1 
| 
| 


HTTP 回应 : 请 输入 验证 码 
[ 
输入 验证 码 
HTTP 回应 : 请 访问 test1. XXXX.com | 


关闭 连接 | 


后 续 报 文 源 外 地 址 命中 自 名 音 直 接 通 过 
三 次 握手 | 
HTTP 请 求 : testl.XXXX.com 
HTTP 回应 | 


图 3-16 验证 码 认 证 





验证 码 认证 过 程 如 下 。 
Q@ 当 连 续 一 段 时 间 内 去 往 目 标 Web 服务 器 的 HTTP GET 请 求 报 文 超过 告警 阐 
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值 后 ，Anti-DDoS 系统 启动 源 认 证 机 制 。 源 认证 机 制 启动 后 ，Anti-DDoS 系统 将 会 代替 
Web 服务 器 与 客户 端 建立 TCP 三 次 握手 。 

@ Anti-DDoS 系统 拦截 HTTP 请 求 ， 向 客户 端 返 回 验 证 码 页 面 ， 要 求 客户 端 输入 验 
证 人 码 。 

@) 如 果 这 个 源 是 攻击 工具 或 僵尸 主机 ， 就 不 会 输入 验证 码 。 

@ 如 果 这 个 源 是 真实 客户 端 ， 就 会 输入 验证 码 并 通过 认证 ，Anti-DDoS 系统 将 该 客 
户 端 的 源 卫 地 址 加 入 白 名 单 。 加 入 白 名 单 后 ，Anti-DDoS 系统 会 请 客户 端 继续 访问 一 开 
台 的 URI。 

@ 后 续 这 个 客户 端 发 出 的 HTTP 请求 报 文 命中 白 名 单 直接 通过 。 

图 3-17 为 Anti-DDoS 系统 向 客户 端 返回 的 验证 码 页 面 的 报 文 ， 站 








e=0 
ent : Moz111a/ do in NT 5.2) ApplewebKit/537.1 (KHTML, like Gecko) 
21.0.1180. 83 Safari/537. 
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Ne -Chon -I50- 8333 于， et 8;9=0.7, 
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Hii T's possible your PC or network ls sending automatic requests. To continue, please enter following characters 
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图 3-17 验证 码 页 面 


验证 码 认证 方式 与 302 认证 方式 相 比 ， 其 防御 效果 更 好 ， 但 是 需要 人 手动 输入 验证 码 ， 
用 户 体验 稍 差 一 些 。 我 们 在 实际 使 用 验证 码 认证 方式 时 ， 可 以 增加 源 卫 统计 的 环节 ， 即 
Anti-DDoS 系统 先 基于 目的 卫 进行 统计 ， 当 去 往 某 个 目的 他 的 HTTP 请 求 超过 闭 值 时 ， 启 
动 基 于 源 他 的 统计 ;- 当 来 自 某 个 源 的 HTTP 请 求 也 超过 阔 值 时 ， 才 启动 验证 码 认证 机 制 。 
这 样 就 会 精确 控制 需要 进行 验证 码 认证 的 源 卫 范围 ， 避 免 大 范围 的 源 卫 都 要 输入 验证 码 。 

302 重 定向 认证 和 验证 码 认 证 这 两 种 源 认 证 方式 是 防御 HTTP GET Flood 攻击 的 有 
效 手 段 ， 但 是 源 认证 方式 也 存在 一 定 的 局 限 ， 比 如 机 顶 盒 视 频 点 播 、 特 定 移动 网 络 等 场 
景 中 ， 无 法 对 客户 端 使 用 源 认 证 方式 。 为 此 ，Anti-DDoS 系统 还 支持 URI 动态 指纹 学 习 
和 URI 行为 监测 防御 方式 ， 它 们 作为 源 认 证 方式 的 补充 ， 满 足 不 同 场景 的 需求 。 


3.3.3 ”URI 动态 指纹 学 习 
URI 动态 指纹 学 习 方式 适用 于 攻击 源 访问 的 URI 比较 固定 的 情况 。 要 形成 攻击 
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效果 ,攻击 者 一 般 都 会 以 容易 消耗 系统 资源 的 URI 作为 攻击 目标 。 一 个 攻击 源 会 发 出 多 
个 针对 该 URI 的 请 求 ， 最 络 呈 现 为 该 源 对 特定 的 URI 发 送 大 量 的 请 求 报 文 。 

基于 这 个 原理 ，Anti-DDoS 系统 对 客户 端 所 访问 的 URI 进行 指纹 学 习 ， 并 找到 攻击 
目标 URI 指纹 。 在 一 定 的 周期 内 ， 同 一 个 源 发 出 的 包含 同一 指纹 的 请 求 超过 设置 的 阔 值 
时 ， 就 将 该 源 加 入 黑 名 单 。 


3.3.4 URI 行为 监测 


URI 行为 监测 防御 方式 要 先 设置 需要 重点 监测 的 URI， 这 样 可 以 将 消耗 资源 多 、 容 
易 受 到 攻击 的 URI 加 入 到 “重点 监测 URI” 列 表 中 。URI 行为 监测 防御 方式 通过 判断 两 
个 比例 是 否 超过 阔 值 来 确定 攻击 源 。 

在 特定 时 间 内 ， 我 们 对 所 有 客户 端 向 某 个 目的 服务 器 的 所 有 访问 中 进行 统计 时 发 
现 ， 重 点 监测 URI 的 访问 数 与 总 访问 数 的 比例 超过 设置 的 阔 值 时 ，Anti-DDoS 系统 局 
动 针 对 源 的 URI 检测 。 当 这 个 源 对 某 个 重点 检测 URI 的 访问 数 与 总 访问 数 的 比例 超过 
设置 的 阔 值 时 ， 就 将 该 源 加 入 黑 名 单 。 


3.4 _ HTTP POST Flood 攻击 与 防御 


攻击 者 利用 攻击 工具 或 者 操纵 僵尸 主机 ， 向 目标 服务 器 发 起 大 量 的 HTTP POST 报 
文 ， 消 耗 服务 器 资源 ， 使 服务 器 无 法 响应 正常 请 求 ， 这 就 是 HTTP POST Flood 攻击 。 

华为 Anti-DDoS 系统 防御 HTTP POST Flood 攻击 与 防御 GET Flood 攻击 类 似 , 常用 
手段 也 是 源 认证 ， 包 括 重 定向 认证 和 验证 码 认 证 。 


3.4.1 ” 重 定 向 认证 


Anti-DDoS 系统 代替 Web 服务 器 向 客户 端 响应 307 状态 码 〈 针 对 POST 请 求 方法 的 
重 定向 )， 同 时 向 客户 端的 浏览 器 注入 Cookie， 客 户 端 再 次 发 起 请 求 时 会 在 HTTP 报头 
上 附加 Cookie 信息 ，Anti-DDoS 系统 通过 验证 Cookie 信息 的 真实 性 来 验证 客户 端的 
真 伪 ， 如 图 3-18 所 示 。 

重 定向 认证 过 程 如 下 。 

@ 当 连 续 一 段 时 间 内 去 往 目标 Web 服务 器 的 HTTP POST 请 求 报 文 超过 告警 阐 
值 后 ，Anti-DDoS 系统 启动 源 认 证 机 制 。 源 认证 机 制 启动 后 ，Anti-DDoS 系统 将 会 代替 
Web 服务 器 与 客户 端 建立 TCP 三 次 握手 。 

@ Anti-DDoS 系统 拦截 HTTP 请 求 。 该 系统 代替 Web 服务 器 回应 307 状态 码 ， 并 
在 响应 头 部 附加 上 由 客户 端 亿 生成 的 Cookie。 

@) 如 果 这 个 源 是 虚假 源 ， 或 者 不 支持 完整 HTTP 的 攻击 工具 ， 不 会 重新 发 起 请 求 。 

@ 如 果 这 个 源 是 真实 客户 端 ，Anti-DDoS 系统 生成 的 Cookie 会 写 入 到 浏览 器 中 ， 
并 且 客 户 端 会 重新 发 起 请 求 ， 请 求 头 部 就 会 带 有 该 Cookie 信息 。Anti-DDoS 系统 收 到 请 
求 后 ， 验 证 Cookie 是 否 正确 ， 如 果 正 确 则 将 该 客户 端的 源 IP 地 址 加 入 白 名 单 。 加 入 白 
名 单 后 ，Anti-DDoS 系统 会 回应 408 状态 码 ， 表 示 请 求 超时 ， 客 户 端 重新 发 起 访问 。 
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Web 服务 器 























三 次 握手 
HTTP 请 求 : POST 
第 一 阶段 重 定向 | HTTP 回应 : 307+Cookie 
关闭 连接 

























第 二 阶段 重 定向 
HTTP 回应 : 408 


关闭 连接 





三 次 握手 “| 
-一 |- 


图 3-18 重 定 向 认证 


@ 后 续 这 个 客户 端 发 出 的 HTTP 请 求 报 文 命中 白 名 单 直接 通过 。 

我 们 结合 一 组 抓 包 信息 来 看 一 下 交互 报 文 的 具体 情况 。 

Anti-DDoS 系统 代替 Web 服务 器 与 客户 端 建立 TCP 三 次 握手 ， 然 后 客户 端 发 起 访 
问 请 求 ， 如 图 3-19 所 示 。 











62 50234 > http [SYN] Seq=93976955 Win=8192 Len=0 M5S=1460 SACK_PERM=1 
62 http > 50234 [SYN, ACK] Seq=4090994666 Ack=93975957 Win=0 Len=0 MSS=1460 SACK_PERM=1 







198 117.268215 
199 117.268416 
200 117. 260457 











54 50234 > htrp 













204 117.268819 [Ack] Seq-93977709 BCKk=4090994866 wir=564042 Len=0 






205 117. 269038 TcP 54 50234 > hrrp [FIN, ACK] Seq=93977709 ACkn4090994866 Win=m64042 Een=0 让 访问 请 3 

206 117. 269222 TCP 50 http > 50234 [ACK] Seq=409099486565 Ack=93977710 win=64042 Len=0 客户 端 访问 请 求 

269 140.162792 TP 62 52410 > http [SYN] Seq-4041112140 Win=8192 Len=0 MSS=1460 SACK_PERM=1 

270 140.163097 TCP 62 hrtp > 52410 [SYN，AKCK] Seq=3017252842 Ack~4041112141 win=0 Lenm0 MS5-1460 SACK_PERKN-I 

271 140.163135 TCP 54 52410 > http [ACK] Seq-4041112141 ACk=3017252843 Win~=64240 Len=D 

272 140.163375 TP 50 [TcP Window update] http > 52410 [AcK] Seq=3017252843 Ack=4041112141 Win=1460 Len=0 

273 140.163412 HTTP 761 POST /net/dts/ajax/Huawei. OTS.web. DT5.Logic.PageAjax,huawei. DTS. web. ashx?_Pethod-iskHaveproRight&_ se 
274 140.163618 HTTP 201 HTTP/1.1 408 Timeout 

275 140.163653 Tp 54 52410 > http [ACK] Seq=4041112848 Ack=3017252991 Win=64093 Len=0 

276 140.164401 192 .M00 We TCP 54 52410 > http [FIN, ACK] Seq=4041112848 Ack=3017252991 win=64093 Len=0 





192. 








277 140.164654 60 http > 52410 [ACK] 5eq=3017252991 Ack=4041112849 Win=64093 Len=0 
i ee ee i a 












Accept: ™/™\r\n 
Accept -Language: zh-cn\r\n 

Referer: htrp://dts.huawei. com/net/dts/DT5/FlowiNsert, aspx?F lowType~DTS_StandardF lowconf igID\r\n 
x-microsoftajax: Delta=true\r\n 

Content -Type: application/x-www-form-urlencoded; charset=utf-8\r\n 

Cache-Control: no-cache\r\n 
A-CPU: x86\r\n 

csr Encoding;: So En 










93 18 46 
15 





2f NN} 
6f 77 49 5e 73 65 dts/ 人 Di i 
rt.aspx? F oes 
61 72 64 46 6c 6f 013 Sea ndardF lo 


Ge 67 75 61 67 65 .Accept- Language 
55 56 55 72 65 72 : zh-cn, .Referer 


图 3-19 TCP 三 次 握手 抓 包 
Anti-DDoS 系统 代替 Web 服务 器 回应 307 状态 码 ， 同 时 在 响应 头 部 附加 上 由 客户 端 
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世 
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IP 生成 的 Cookie， 然 后 双方 关闭 连接 ， 如 图 3-20 所 示 。 


198 117.268215 村 . 62 50234 > http [SYN] Seq-93976956 Win-8192 Len-0 MSS-1460 SACK_PERM=L 

199 117.268416 bE 62 htrp > 50234 [SYN, ACK] Seq=4090994666 Ack=93976957 Win=0 Len=0 MSS=1460 SACK_PERM=L 
200 117.268457 192 WN a 54 50234 > http [ACK] Seq=93976957 Ack=4090994667 Win=64240 ten=0 

201 117.268634 192.08 CR } 60 [TCP window update] http > 50234 [ACK] Seq=4090994667 Ack=93976957 win=1460 Len=0 
202 117. 266658 192, | ft CDTS/ Flowinsert. asj gen da) de 和 


四 了 3 > ht 3 ck=4090994866 win-64042 Len=0 
205 117.269038 5 54 50234 > 局 可 [FIN, AcKJ Seq=93977709 Ack=4090994866 win=64042 Len=0 
206 117. 269222 60 hrtp > 50234 [XKKJ Seq=4090994866 Ack=93977710 Win=64042 Len=0 
269 140.162792 . 62 52410 > http [SYN] Seq=4041112140 Win=8192 Len=0 MSS=1460 SACK_PERM=1 
270 140.153097 2 | 52 http > 52410 [SYN, ACK] Seq=3017252842 Ack=4041112141 Win=0 Len=0 MSS=1460 SACK_PERM=1 
271 140.163135 192 0 如 i 54 52410 > hrrp [ACK] Seq=4041112141 Ack=3017252843 Win=64240 Len=0 
272 140.163375 192 ce | 60 [TcP Window Update] htrp > 52410 [ACK] Seq=3017252843 ACk=4041112141 Win=1460 Len=0 
273 140.163412 192, | 761 POST /ner/dts/aiax/Huawei.DTS.Web.DTS,Logic.Pageajax ,Huawei. OTS.Wweb.ashx?_method=isHaveproRight& s 
274 140.163618 192. < 201 HTTP/1.1 408 Timeout 
275 140.163653 192. 54 52410 > htrp [ACK] Seq=4041112848 Ack=3017252991 win=64093 Len=0 
276 140. 192= 54 52410 > hrrpP [FIN, ACK] Seq=4041112848 Ack=3017252991 win=64093 Len=0 
277 140， J 60 hrfp > 52410 [acx] 5eq-3017252991 ACk=4041112849 Win=64093 Len=O 


Content-Type: text/html; hi aiNrNn 
Conrent-Length: 0;\r\n 


ntent-Le 


图 3-20 ”Anti-DDoS 回应 307 状态 码 抓 包 


真实 客户 端 会 再 次 与 Anti-DDoS 系统 建立 TCP 三 次 握手 , 并且 会 重新 发 起 请 求 , 请 
求 头 部 就 会 带 有 Cookie 信息 ， 如 图 3-21 所 示 。 












198 117.268215 lS i 62 50234 > http [SYN] Seq-93976956 win-8192 Len-0 MSS-1460 SACK_PERM=1 

199 117.268416 » i * 62 http > 50234 [SYN, ACK] 5eqn4090994656 Ack=93976957 wine0 LenmO MSS=1460 SACK_PERM=L 
200 117.268457 192 ji 用 54 50234 > hrrp [ACK] Seq=93976957 Ack=4090994667 Win=64240 Len=0 

201 117. 268634 192000 二 旨 60 [TcP window update] http > 50234 [ACK] Seq=4090994667 Ack=93976957 Win=1460 Len=0 









202 117.268658 。 192. 省 . 抽 汪 806 POST /net/dts/DTS/FlowInsert. aspx?F1lowType~OTS_StandardF lowConf igID HTTP/1.1 ，NTLMSSP_NEGOTIATE 
203 117.268793 192: 252 HTTP/1.1 307 Temporary Redirect 二 
204 117.268819 。 192 导演 = 痢 54 50234 > hrrp [ACK] Seq-93977709 Ack=4090994866 winr64042 Len=0 再 次 建立 TCP 三 次 握手 












205 117.269038 = 192 2008 9 | 54 50234 > htrp [FIN, MK] Seq=93977709 Ack=4090994866 Win~64042 Len=0 
206 117. 269222 -ih 60 http > 50234 [ac G=4990994856 Ack=93977710 winm64042 上 
269 140.162792 62 52410 > http [SYN] Seq-4041112140 win-8192 Len=0 MSS=1460 SACK_PERM=I 
270 140.163097 62 http > 52410 [SYN, ACK] Seq=3017252842 Ack=4041112141 Win=0 Len=0 M55=1460 SACK_PERM=I 
271 140.163135 wh | 54 52410 > htrp [acx] Seq=4041142141 Ack=3017252843 Win=64240 Len=0 
2: ow -Upg KT Seq=301 05284 AS 了 -一 一 一 一 EC Len=t 


275 140.163653 欠 当 5 : 54 52410 > http [ACx] Seq=s041112848 Ack=3617252991 Win=64093 Len=0 
276 140.164401 。 192 所 清 = 54 52410 > hrrp [FIN, ACK] Seq-4041112848 Ack=3017252991 Win-64093 Len-0 
560 http > 52410 [ACK] Seq-: ck=4041112849 Win=64093 Len=0 


Accept: “/*\r\n 
Accept-Language: zh-cn\r\n 

Referer: http://drs.huawei. com/net/dts/OTS/FlowInsert. aspx?FlowType=DTS_Standar dF lowconfigID\r\n 
UA-CPiU: x86\r\n 
Accept-Encoding: gzip, deflate\r\n 

User-Agent: Mozilla74.0 (compatible; MSIE 7.0; windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0,04506; .NET CLR 1.1.4322; .NET4.0C; .NET4.0E)\r\n 
Host; dts.huawei com\r\n 


Sevw 客户 端 访问 请 求 中 带 有 Cookie 信息 












SHavepro 
esSionar 
N HTTP/L, 


图 3-21 重新 建立 TCP 三 次 握手 抓 包 





Anti-DDoS 系统 收 到 请 求 后 ， 其 通过 验证 Cookie 来 判定 该 客户 端 为 真实 客户 端 ， 将 
其 IP 地址 加 入 白 名 单 。 加 入 白 名 单 后 ，Anti-DDoS 系统 会 回应 408 状态 码 ， 表 示 请 求 超 
时 ， 客 户 端 重新 发 起 访问 ， 如 图 3-22 所 示 。 

我 们 在 上 文中 介绍 的 307 重 定向 认证 方式 能 够 很 好 地 防御 HTTP POST Flood 攻击 ， 但 
是 这 种 方式 也 具有 局 限 性 : 其 一 ,依赖 于 客户 端 浏 览 器 的 Cookie 的 机 制 ， 受 安全 级 别 限 制 。 
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如 果 客 户 端的 浏览 器 安全 级 别 较 高 而 无 法 写 入 Cookie， 会 导致 认证 不 通过 ; 其 二 ， 第 一 阶 
nse a Sn 提交 等 操作 ， 才 能 重新 发 起 POST 请 求 。 








Ki 

62 http > 0234 [syN, Xe Seq-4090994666 Ack=93976957 Wirm0 Lerm0 MSS=1460 SACK_PERM= 
54 50234 > http [ACK] Seq=93976957 Ack=4090994667 Win=64240 Len=0 
60 [TCP window Update] http > 50234 [ACK] Seq=4090994667 Ack=93976957 win=i460 Len=0 
B805 POST /net/dts/DTS/F lowInsert. aspx?F1lowType=DTS_StandardF lowConf 1g1D HTTP/1.1 , NTLMSSP_NEGOTIATE 
252 HTTP/I.1 307 Temporary Redirect 
54 50234 > http [ACK] Seq=93977709 Ack=4090994866 Win=64042 Len=0 
54 50234 > http [FIN, ACK] Seq=93977709 Ack=4090994566 Win=54042 Len=0 
60 http > 50234 [ACK] Seq=4090994866 Ack=93977710 Win=64042 Len=0 
62 52410 > http [SYN] Seq=4041112140 Win=B8192 Len=0 MSS=1460 SACK_PERM=1 
62 http > 52410 [SYN, ACK] Seq=3017252842 Ack=4041112141 win=0 Len=0 MSS~1460 SACK_PERM=l 
54 52410 > http [ACK] Seq=4041112141 Ack=3017252843 Win=64240 Len=0 
50 [TcP 二 Row Wpdasey http > 52410 [ACK] Seq=3017252843 Ack=4041112141 Win=1450 Len=0 

/Nyanet. DTS. web. DTS. Logic. PageAjax ,Huawei, DTS. web. ashx?_method=isHavepr oRighté sessio 














199 117. 268416 
200 117.,258457 

201 117.268634 
202 117.268658 
203 117.268793 
204 117.268819 
205 117.269035 
206 117.269222 
269 140.152792 
270 140.163097 
271 140.163135 
272 140.163375 

73 140, 1634 









276 140.164401 


加 
四 Re 了 5 
EE Irterner Te Src 













Connection: 
pragma: no-cache\ 
Cache-control: no-cache\r\n 

Content-Type: text/hrtml; charser=UTF-8;\r\n 
Content-Length: 0;\r\n 





vO Bb 46 ge 30 00 De fH Sa et tr UV E00 or ep 

21 03 00 50 cc ba b3 d7 9f eb fo de 7d 10 50 19 上 wen} 

00 01 4d a7 00 00 48 54 54 50 2f 31 2e@ 31 20 34 有 

30 38 20 54 59 6d 65 6f 75 74 0d 0a 43 6f 6e 56e 08 Timeo ut. .Conn 

2 全 74 69 6f 6e 3a 20 43 6c 6f 73 65 0d 0a 50 ection: C105e.,P 
67 6d 61 3a206e 6f 2d 63 61 63 68 65 0d ragma: n 0-cache. 

人 入 61 .53 5865 2d 63 6f 6e 74 72 6f.5c 3a 20 .Cache-c ontroti 

Ge 6f 2d 63 51 63 68 65 0d0a438f 6e 74 65 5e no-cache ..Conten 

74 2d 54 79 70 65 3a 20 74 65 78 74 2f 68 74 6d 工 ee: 

6c 3b 20 63 68 61 72 73 65 74 3d 55 54 46 2d 38 1; ars et=UTF-8 

3b Od 0a 43 5f 6e 74 65 6e 74 2d 4¢ 65 5e 67 74 ; 

68 3a 20 30 3b 0d 0a 0d 0a h 





同 HTTP GET Flood 的 防御 方式 相似 ，HTTP POST Flood 的 源 认证 防御 也 支持 增强 
方式 ， 即 验证 码 认证 。 


3.4.2 ”验证 码 认证 


此 处 的 验证 码 认 证 与 HTTP GET Flood 中 的 验证 码 机 制 相同 ，Anti-DDoS 系统 要 求 
客户 端 输入 验证 码 ， 以 此 来 判断 请 求 是 否 由 真实 的 用 户 发 起 。 其 次 端 也 是 需要 人 手动 输 
入 验证 码 ， 用 户 体验 稍 差 一 些 。 具 体 的 工作 原理 请 参考 HTTP GET Flood 攻击 与 防御 部 
分 中 的 介绍 ， 此 处 不 再 袭 述 。 


3.4.3 URI 动态 指纹 学 习 和 URI 行为 监测 


我 们 在 防御 HTTP POST Flood 攻击 时 ， 也 可 以 使 用 URI 动态 指纹 学 习 和 URI 行为 
监测 防御 方式 ， 作 为 源 认证 方式 的 补充 ， 满 足 不 同 场 景 的 需求 。 其 防御 原理 我 们 在 上 文 
的 HTTP GET Flood 攻击 与 防御 部 分 已 经 介绍 过 ， 此 处 不 再 歼 述 。 

了 解 两 种 Flood 类 攻击 后 ;下 面 我 们 来 介绍 另外 一 种 针对 HTTP 的 DDoS 攻击 一 一 
慢 速 攻击 。 与 Flood 类 攻击 靠 海 量 的 数据 洪流 “淹没 ”目标 服务 器 不 同 ， 慢 速 攻击 反 其 
道 而 行 ， 它 通过 发 送 少 量 数据 来 维持 连接 状态 ， 持 续 消耗 目标 服务 器 的 资源 。 


3:5 HTTP 慢 ) 速 攻击 与 防御 


HTTP 慢 速 攻击 是 利用 HTTP 的 正常 交互 机 制 ， 先 与 目标 服务 器 建立 一 个 连接 ， 然 
后 长 时 间 保 持 该 连接 不 释放 。 如 果 攻 击 者 持续 与 目标 服务 器 建立 这 样 的 连接 ， 就 会 使 目 
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标 服务 器 上 的 可 用 资源 耗 尽 ， 无 法 提供 正常 服务 。 
HTTP 慢 速 攻击 主要 包括 针对 HTTP 请 求 报 文 头 部 结束 符 的 Slow Headers 攻击 ， 以 
及 针对 POST 请 求 报 文 数据 长 度 的 Slow POST 攻击 。 


3.5.1 Slow Headers 


我 们 在 HTTP 基础 部 分 中 介绍 HTTP 请 求 报 文 时 ， 提 到 过 请 求 头 部 的 后 面 会 存在 一 
个 空 行 〈 结 束 符 )， 这 其 中 包括 回 车 符 和 换行 符 ， 客 户 端 告知 服务 器 请 求 头 部 结束 ， 后 面 
不 再 有 请 求 头 。 如 果 服 务 器 没有 收 到 这 个 空 行 则 会 一 直 保 持 连接 。 

Slow Headers 攻击 正 是 利用 这 一 点 ， 如 图 3-23 所 示 ， 攻 击 者 使 用 GET 或 POST 
请 求 方法 与 目标 服务 器 建立 连接 ， 然 后 持续 发 送 不 包含 结束 符 的 HTTP 头 部 报 文 ， 
目标 服务 器 会 一 直 等 待 请 求 头 部 中 的 结束 符 ， 这 导致 连接 始终 被 占用 。 攻 击 者 控制 大 
量 的 僵尸 主机 向 目标 服务 器 发 起 这 种 攻击 ， 将 会 导致 服务 器 资源 耗 尽 ， 无 法 正常 提供 


服务 。 
黑客 
中 HTTP 请 求 ， 未 完 待 续 …… 
pe : 我 等 待 














未 完 待 续 …… < 
我 等 待 
未 完 待 续 …… 
我 等 待 
未 完 待 续 .….…. 
:EE  】 
服务 器 资源 耗 尽 


图 3-23 ”Slow Headers 攻击 


如 图 3-24 所 示 ， 正 常 的 HTTP 报 文中 请 求 头 部 的 后 面 会 有 结束 符 0x0d0a (\rn 的 十 
六 进 制 表示 方式 )， 而 攻击 报 文中 不 包含 结束 符 , 并 且 攻 击 者 会 持续 发 送 不 包含 结束 符 的 
HTTP 头 部 报 文 ， 维 持 连 接 状态 ， 消 耗 目 标 服务 器 的 资源 。 

Slow Headers 攻击 行为 的 特征 比较 明显 ， 华 为 Anti-DDoS 系统 防御 Slow Headers 攻 
击 时 ， 会 对 HTTP 报 文 进行 检查 。 如 果 发 现 某 个 源 发 出 的 连续 多 个 HTTP GET/POST 请 
求 报 文 的 报 文 头 中 都 没有 结束 符 (“\rn”)， 则 认为 发 生 Slow Headers 攻击 ， 将 该 源 卫 地 
址 加 入 黑 名 单 。 
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Follow IC 
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1 67 33 20 .32 36 35 30 30 
吕 87 6d 61 33 20 35 37 32 34 
61 67 6d 61 3a 20 35 38 
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61 67 6d 61 3a 20 32 38 31 34 35 





图 3-24 HTTP 报 文中 请 求 头 
3.5.2 Slow POST 


Slow POST 攻击 利用 的 是 POST 请 
求 方法 ， 如 图 3-25 所 示 ， 攻 击 者 向 目标 
服务 器 发 送 POST 请 求 报 文 提交 数据 ， 
数据 的 长 度 设置 为 一 个 很 大 的 数值 ， 但 
是 在 随后 的 数据 发 送 中 ， 每 次 只 发 送 很 
小 的 报 文 ， 这 就 会 导致 目标 服务 器 一 直 先 给 你 1 人 守节 
等 待 攻击 者 继续 发 送 后 续 数据 。 攻 击 者 好 的 ,我 接收 [gg 
控制 大 量 的 僵尸 主机 向 目标 服务 器 发 起 
这 种 攻击 ， 将 会 导致 服务 器 资源 耗 尽 ， 
无 法 正常 提供 服务 。 i 

如 图 3-26 所 示 , Slow POST 攻击 报 
文中 ，POST 请 求 头 部 的 Content-Length 
关键 字 的 值 设 置 为 8192， 表 示 数 据 长 度 
为 8192Byte。 攻 击 者 后 续 每 次 只 发 送 1 再 给 你 1 个 字 节 
个 字 节 的 报 文 ， 导 致 连接 一 直 被 占用 ， 
消耗 了 服务 器 的 资源 。 

华为 Anti-DDoS 系统 防御 Slow POST 服务 器 资源 耗 尽 
攻击 时 ， 防御 方法 也 是 对 HTTP 报 文 进行 I 


攻击 目标 
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检查 。 如 果 发 现 某 个 源 发 出 的 连续 多 个 HTTP POST 请 求 报 文 的 长 度 值 设置 得 很 大 ， 但 
ee 则 认为 发 生 Slow POST 攻击 ， 将 该 源 IP 地 址 加 
入 黑 名 单 。 


Follow ICP Stream 
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持续 发 送 数据 ， 但 
次 只 发 送 1 个 字 节 





图 3-26 了 P 了 POST 请求 头 
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TCP 解析 
SYN Flood 攻击 与 防御 
SYN-ACK&ACK&FIN&RST Flood 攻击 与 防御 


TCP 连接 耗 尽 攻击 & 异 常 报 文 攻击 与 防御 
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4.1 热点 事件 解密 之 : SYN Flood 攻击 事件 


4.1.1 事件 回顾 


2015 年 12 月 ， 土 耳 其 互联 网 遭遇 了 史上 最 大 规模 的 DDoS 攻击 。 土 耳 其 三 家 知名 
银行 Ziraat、Isbank 和 Garanti 受到 DDoS 攻击 ， 攻 击 流量 峰值 带宽 高 达 40Gbit/s。 

土耳其 大 多 数 的 银行 和 政府 网 站 都 在 华为 Anti-DDoS 系统 防御 保护 之 中 ， 大 流量 攻 
击 虽 然 导致 防御 系统 性 能 过 载 ， 但 华为 工程 师 现场 紧急 扩容 板 卡 ， 研 发 远程 7X24 小 时 
值守 ， 尽 管 黑客 不 断 变更 攻击 手法 ， 但 所 有 攻击 均 被 成 功 阻 断 ， 网 站 访问 正常 。 

如 图 4-1 所 示 是 从 12 月 14 日 到 12 月 31 日 的 攻击 流量 峰值 带宽 。 


攻击 流量 峰值 带宽 (Gbit/s) 


.017.0 15.0 138 
-aa < 8.7 
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加 4-1 攻击 报表 展示 


这 次 DDoS 攻击 事件 中 ，Anonymous 发 动 了 混合 型 的 攻击 ， 包 含 SYN Flood、UDP 
Flood、HTTP Flood 等 多 种 类 型 的 攻击 , 其 中 以 SYN Flood 为 主 , 下 面 我 们 着 重 讲解 SYN 
Flood。 


4.1.2 ”SYN Flood 攻击 


SYN Flood 是 互联 网 上 经 典 的 DDoS 攻击 方式 之 一 ， 也 是 最 原始 的 DDoS 攻击 ， 最 
早出 现 于 1999 年 前 后 。 在 网 络 发 展 初期 ， 由 于 系统 的 限制 以 及 硬件 资源 性 能 的 落后 ， 
SYN Flood 的 出 现 对 网 络 安全 界 是 一 大 冲击 。 它 与 当时 的 单 包 攻击 不 同 ， 工 程 师 很 难 
通过 单个 报 文 的 特征 或 者 简单 的 统计 限 流 进行 防御 ， 每 个 报 文 看 起 来 都 是 一 个 正常 的 
报 文 。 

SYN Flood 是 基于 TCP 产生 ， 其 通过 TCP 的 三 次 握手 机 制 ， 攻 击 服务 器 ， 如 图 4-2 
所 示 。 


服务 器 














数据 传输 
图 4-2 TCP 三 次 握手 
SYN Flood 三 次 握手 时 制造 多 个 半 连 接 ， 以 此 消耗 服务 器 的 连接 数 ， 如 图 4-3 所 示 。 


ZF 





图 4-3 SYN Flood 原理 


黑客 伪造 源 IP 地 址 向 服务 器 发 送 大 量 的 SYN 报 文 ， 请 求 建立 三 次 握手 。 由 于 发 
送 源 IP 是 伪造 的 ， 因 此 在 服务 器 回应 了 一 个 SYN-ACK 报 文 后 ， 源 IP 并 不 会 继续 回 
应 ACK 报 文 进行 确认 。 这 时 服务 器 会 建立 一 个 庞大 的 等 待 列表 ， 不 停 地 重复 发 送 
SYN-ACK 报 文 ， 同 时 服务 器 占用 着 大 量 的 资源 无 法 释放 。 这 导致 被 攻击 的 服务 器 被 
恶意 半 连 接 占 满 ， 不 再 接收 新 的 SYN 请 求 ， 而 合法 用 户 却 无 法 完成 三 次 握手 去 建立 
TCP 连接 。 

比如 ， 超 市 收银 台 被 客户 包围 ， 但 没有 客户 进行 结账 ， 收 银 台 无 法 正常 工作 ， 这 种 
是 半 连 接 。 长 此 以 往 ， 超 市 瘫痪 ， 资 源 耗 尽 ， 如 图 4-4 所 示 。 








图 4-4 超市 收银 被 恶意 霸占 


4.1.3 ”华为 Anti-DDoS 系统 的 解决 方案 


SYN Flood 这 种 没有 明显 攻击 特征 的 报 文 ， 工 程 师 不 能 通过 特征 识别 或 者 指纹 学 习 
的 方式 对 SYN 报 文 进行 过 滤 。 我 们 可 以 从 SYN 报 文 建立 连接 的 “行为 ”入 手 ， 判 定 其 
是 否 由 真实 源 所 发 出 的 请 求 。 

对 于 面向 连接 的 DDoS 攻击 ， 最 有 效 的 防御 方式 是 源 认 证 。 源 认证 有 3 个 层面 ， 分 
别 为 TCP/IP 源 认 证 、 应 用 层 源 认证 和 用 户 源 认证 。 

针对 SYN Flood 攻击 的 源 认 证 ， 是 整个 源 认证 防御 系统 中 的 第 一 层 TCP/IP 源 认证 ， 
如 图 4-5 所 示 。 在 TCP 三 次 握手 还 没有 建立 成 功 之 前 , Anti-DDoS 会 验证 攻击 源 的 TCP/IP 
是 否 真实 可 信 。 
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q 黑客 控制 僵尸 主机 用 伪造 源 IP 向 服务 器 发 起 SYN Flood 攻击 , Anti-DDoS 对 到 达 


服务 器 的 SYN 报 文 进行 统计 ， 流 量 达 到 告警 闪 值 后 ， 触 发 防御 机 制 


启动 防御 后 ，Anti-DDoS 拦截 SYN 报 文 ， 并 反弹 错误 序列 号 的 SYN-ACK 到 客 
@@ 户 端 。 如果 是 虚假 源 ， 则 不 会 响应 SYN-ACK 报 文 。 如 果 是 真实 源 ， 收 到 错误 
序列 号 的 SYN-ACK 报 文 后 ， 会 回应 RST 报 文 ， 要 求 重新 建立 连接 


Sy SYN 
~ CK (gy» 
A \ 攻击 目标 


真实 源 


oS 将 回应 RST 的 客户 端 源 IP 加 入 白 名 单 ， 并 透 传 此 客户 端 重新 发 送 的 
SYN 报 文 ， 客 户 端 和 服务 器 直接 建立 三 次 握手 ， 并 进行 后 续 的 数据 传输 
































图 4-5 ” TCP/IP 源 认 证 


从 报 文 交互 过 程 看 出 ，Anti-DDoS 设备 代替 Web 服务 器 向 客户 端 反 弹 一 个 错误 序列 
号 的 SYN-ACK 报 文 ， 等 待 客户 端的 回应 。 

@ 如 果 是 虚假 源 ， 网 络 中 不 存在 这 个 源 下， 或 者 源 卫 存在 于 网 络 但 没有 发 送 过 SYN 
请 求 ， 源 卫 无 故 收 到 一 个 SYN-ACK 报 文 ， 不 会 做 任何 响应 ， 也 无 法 通过 源 认 证 。 

@ 如 果 是 真实 源 ， 当 它 收 到 一 个 错误 的 SYN-ACK 报 文 ， 会 回应 一 个 RST 报 文 ， 
要 求 服务 器 重 传 。 这 时 Anti-DDoS 设备 判定 客户 端 是 真实 源 ， 并 加 入 白 名 单 。 后 续 这 个 
源 在 一 定时 间 内 发 送 的 SYN 报 文 ， 会 直接 匹配 白 名 单 ， 并 送 达 服务 器 。 
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当 黑 客 发 动 10GB 的 变换 源 耻 和 源 端口 的 攻击 流量 ， 服 务 器 又 反弹 10GB 的 认证 报 
文 时 , 会 造成 网 络 严 重 拥塞 。 源 认证 的 反弹 机 制 会 导致 二 次 攻击 的 情况 , 因此 Anti-DDoS 
设置 了 首 包 丢弃 功能 。 

TCP 之 所 以 可 靠 ， 除 了 三 次 握手 机 制 ， 还 有 一 个 是 处 理 数据 超时 和 重 传 的 机 制 ， 如 
图 4-6 所 示 。TCP 要 求 在 发 送 端 每 发 送 一 个 报 文 段 ， 就 启动 一 个 定时 器 并 等 待 确认 信息 ; 
接收 端 成 功 接收 新 数据 后 回复 确认 信息 。 若 定时 器 在 超时 前 数据 未 能 被 确认 ，TCP 会 认 
为 报 文 段 中 的 数据 已 丢失 或 损坏 ， 并 对 报 文 段 中 的 数据 进行 重新 组 织 和 重 传 。 


SYN 








SYN- 
SYN-AC 
ACK 














图 4-6 TCP 重 传 机 制 


首 包 丢弃 便 是 利用 TCP 重 传 机 制 ， 对 收 到 的 第 一 个 SYN 报 文 直接 丢弃 ， 然 后 判定 
客户 端 是 否 重 传 。 如 果 重 传 ， 再 对 第 二 个 包 进 行 源 认 证 反弹 。 这 样 可 以 大 大 减少 反弹 包 
的 数量 ， 同 时 提高 设备 的 处 理性 能 ， 以 达到 最 佳 防 御 效 果 。 

Anti-DDoS 设备 判定 这 个 报 文 是 不 是 重 传 报 文 ， 有 两 个 依据 : 三 元 组 和 时 间 间 隔 。 
三 元 组 包含 源 IP 地 址 、 源 端口 和 协议 。 

当 Anti-DDoS 设备 收 到 一 个 SYN 报 文 ， 首 先 会 查询 有 没有 匹配 到 三 元 组 ， 如 
果 没 有 ， 就 认为 该 报 文 是 首 包 ， 将 其 丢弃 ， 并 记录 三 元 组 信息 。 当 SYN 报 文 匹配 
到 三 元 组 时 ， 再 继续 计算 该 报 文 与 匹配 到 三 元 组 的 上 一 个 报 文 到 达 的 时 间 间 隔 。 如 
果 时 间 间 隔 不 匹配 ， 则 认为 是 首 包 ， 将 其 丢弃 ， 如 果 时 间 间 隔 匹 配 ， 则 认为 是 后 续 
包 ， 将 其 放行 。 

源 认 证 要 和 首 包 丢弃 功能 一 起 配合 使 用 ， 对 于 虚假 源 攻击 ， 尤 其 是 针对 不 断 变 换 源 
IP 和 源 端 口 的 虚假 源 攻击 ， 可 以 达到 最 佳 防御 效果 。 其 中 ， 源 认证 是 对 IP 层面 的 校 验 ， 
认证 这 个 源 是 不 是 真实 存在 的 源 ; 首 包 丢弃 是 对 于 TCP 栈 层面 的 校 验 , 用 于 判断 是 否 是 
这 个 源 发 出 的 真实 请 求 。 


4.2 TCP 解析 


TCP 是 每 一 位 网 络 工程 师 在 入 门 时 学 到 的 第 一 个 协议 。 由 于 TCP 的 优良 品质 (面向 
连接 、 超 时 重 传 等 可 靠 性 保证 )， 这 个 传输 层 协议 构建 了 网 络 的 半壁 江山 ， 很 多 常用 的 
协议 或 应 用 如 Web、Telnet/SSH、FTP 等 都 是 承载 于 TCP。 

我 们 以 一 次 FTP 连接 建立 和 断 开 的 过 程 为 例 , 分 析 TCP 报 文 的 交互 过 程 , 了 解 TCP 
报 文中 的 关键 字段 。 图 4-7 为 使 用 Wireshark 工具 中 Flow Graph 功能 绘制 出 的 整个 交互 
过 程 的 流程 图 ， 我 们 重点 关注 交互 过 程 的 一 头 一 尾 ， 即 三 次 握手 建立 连接 以 及 四 次 握手 
断 开 连接 的 过 程 。 
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192. 168.0.2 ii 
Ses = 2452765130 
Seq = 1396063412 Ack = 2452765131 






三 次 握手 | 






Ses = 2452765131 Ack = 1956053413 














| [soa = 1996065413 hck = 2452755131 
| sea = 2452765131 hck = 1996069436 
Seq = 2452755131 Ack = 1996065436 | 
Sea = 1396069436 Ack = 2452765141 | 
Sea = 2452755141 hck = 1996063468 
Sea = 2452765141 Ack = 1996069468 

= 15596069458 Ack = 2452785151 
| | sea = 2452765151 Ack = 1996055493 
ses = 2452765151 fck = 1356069433 
Sea = 1996069493 Ack = 2452755157 
Sea = 1996053507 Ack = 2452765157 





| | Sea = 2452765157 Ac = 1958059508 
0 四 次 握手 | 


Sea = 2452765157 fck = 1996059508 
jaa = 1996069508 Ack = 2452765158 


图 4-7 TCP 的 整个 交互 过 程 
4.2.1 三 次 握手 建立 连接 














在 TCP 中 ， 通 信 双 方 使 用 三 次 握手 来 建立 一 个 连接 。 
第 一 次 握手 时 ， 客 户 端 向 服务 器 发 起 请 求 ， 报 文中 的 SYN 标志 位 置 为 1， 序 号 为 
2452765130 (用 XX 标记 )， 如 图 4-8 所 示 。 





Source port: 55068 (S55068) 
Destination port: ftp (21) 
Stream index: 0 
序号 


Header length: 32 bytes 


+ = Reserved: Not set 

.» = Nonce: NOT set 

.. = Congestion Window Reduced CCwR): NOt Set 

。= ECN-Echo: Not Set 

= Urgent: Not set 

= Acknowledgement: NOt Ser 

= pushs NOt set 
et; NoF Se 














Window size ee 8192 


图 4-8 第 一 次 握手 


第 二 次 握手 时 ， 服 务 器 收 到 客户 端的 请 求 后 ， 向 客户 端 回应 报 文 。 报 文中 的 SYN 
和 ACK 标志 位 均 置 为 1, 序号 为 1996069412 (用 YY 标记 ), 确认 序号 为 客户 端的 序号 +1， 
即 义 +1=2452765131， 如 图 4-9 所 示 。 


SS Tnternet protoco}, Src: 192.168.1,2 (192.168.1.2), Dst: 192.168.0.2 (192.168.0.2) 
B 


Source port: ftp (21) 
Destinatfon port: 35068 (55068) 
Stcreag index: 0 





Seauence number: 1996069412 


序号 
Acknowledgqement number: 2452765131 确认 序号 


Header length: 32 bytes 









+» = Reserved: Not set 
-» = Nonce: NOt 5eT 
= Congestion Window Reduced (CWwR): Not set 


so = ECN-ECho: Not set 
ACK 标志 位 置 为 1 













0... = Push: NOt set 
.= Reset: Not set 








:0 = Fin: Not set 
window size value: 8192 


图 4-9 第 二 次 握手 
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第 三 次 握手 时 ， 客 户 端 收 到 服务 器 回应 的 报 文 后 ， 首 先 检查 报 文中 的 确认 序号 
是 否 正 确 。 如 果 确 认 序 号 正确 (客户 端的 序号 +1)， 即 发 送 确 认 报 文 。 确 认 报 文中 
的 ACK 标志 位 置 为 1, 确认 序号 为 服务 器 的 序号 +1, 即 Y+1=1996069413, 如 图 4-10 
所 示 。 






nterner tee ee I a 0 | {192, 168,0.2), Der: 于 2 92 二 
Transmission conr Src port: 55068 (55068), Dst Port: ftp (21), 5eq; 2452765131, ack; 1996069413, Len: 0 


Source por Es es ee a 
esti on por 








确认 序号 


Re oe Ne Ser 


- ne ced (CWR}: Not set 
= te Echo 


et set|—— ACK 标志 位 置 为 1 








window size valye: 8192 


图 4-10 ”第 三 次 握手 





如 果 客 户 端 检查 服务 器 回应 报 文中 的 确认 序号 不 正确 ， 就 会 发 送 RST (Reset 复位 
报 文 )， 报 文中 的 RST 标志 位 置 为 1， 表示 连接 出 现 问题 ， i 
经 过 上 述 三 次 握手 的 交互 过 程 ， 通 信 双 方 的 一 个 TCP 连接 就 建立 


4.2.2 ”四 次 握手 交互 


由 于 TCP 连接 的 全 双 工 特性 (两 个 方 同 能 同时 传输 数据 )， 因 此 通信 双方 断 开 一 
连接 需要 经 过 四 次 握手 的 交互 过 程 ， 或 者 称 为 四 次 挥手 ， 意 为 双方 各 对 方 挥手 告别 。 

由 服务 器 发 起 断 开 连接 的 第 一 次 握手 ， 服 务 器 要 关闭 与 客户 端的 连接 ， 服 务 器 发 
送 的 报 文 中 FIN 标志 位 和 ACK 标志 位 均 置 为 1， 序 号 为 1996069507( 用 义 标 记 )， 如 
图 4-11 所 示 。 























= Push: NOE Set 
= Reset: NO set 








图 4-11 断 开 连 接 时 第 一 次 握手 





第 二 次 握手 时 ， 客 户 端 收 到 服务 器 的 FIN 报 文 后 ， 向 服务 器 回应 报 文 。 报 文中 
的 ACK 标志 位 置 为 1, 确认 序号 为 客户 端的 序号 +1, 即 X+1=1996069508, 如 图 4-12 
所 示 。 

第 三 次 握手 时 ， 客 户 端 要 关闭 与 服务 器 的 连接 ， 客 户 端 发 送 的 报 文 中 ，FIN 标志 位 
和 ACK 标志 位 均 置 为 1， 序 号 为 2452765157 (用 ZZ 标 记 )， 如 图 4-13 所 示 。 
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Ss tocoF, ee Dst; 192.168,1.2 (192.168.1.2) 
= Transmission control prorocol, Src port: 55068 (55068), Dst Port: ftp (21), seq: 24527 
Source port: 55068 (55068) 
Destination port: ftp (21) 
[stream index: 0] 


Sequence rumber; 2452765157 
[einent nuner: 1955055505| 确 认 序号 
Header lengrh: 20 bytes 
至 a Qx10 CACK) 
re = Reserved: Not set 
2 wees ssss OCR Not Set 


-。= Congestion window Reduced (CwR): NGC ser 
-= ECN-Echo: NOT set 


一 ACK 标志 位 置 为 1 


0.. = Reset: NOt set 
vas se sO, = Syn: Not ser 

er 0 = Fin: Not ser 
Window size value: 8098 









图 4-12 ”上 断 开 连接 时 第 二 次 握手 





Source port: 55068 (55068) 
Destination port; ftp (21) 
Stream index: 0 
Sequence number: 2452765157 序号 
Acknowledgement mtimber : 1995069508 
Header 本 20 bees 






a Reserved: Not Set 
--. = Nonce: Not ser 
.. = Congestion window Reduced (CwR): Not set 


Sa = ECN-Echo: Not Set 
ACK 标志 位 置 为 1 










~ Urgent: Not Se 


= Push: Not set 
= Reset™ -Nor set 





图 4-13” 断 开 连 接 时 第 三 次 握手 


第 四 次 握手 时 ， 服 务 器 收 到 客户 端的 FIN 报 文 后 ， 向 客户 端 回 应 报 文 。 报 文中 
的 ACK 标志 位 置 为 1, 确认 序号 为 客户 端的 序号 +1, 即 Z+1=2452765158, 如 图 4-14 
所 示 。 


EB Internet Protocol, Src; 192.168,1.2 (192.168.1.2), Dst: 192.168,0,2 (192.168.0,2) 最 
日 Transni55ton Control Protrocol, Src Port: frp {21), Dst Port: 55068 (55068), Seq; 1996069508; pe 2452765158, Len: © 
Source port: ftp (21) 
Destination port: 55068 (55068) 
[stream index: 0] 
Seqyence 一 2996069508 
A 确认 序号 
B Mags: Oxi0 Can) 
vs = Reserved: NOT set 
++. = Nonce: Not set 
.. = Congestion Window Reduced {CwR): Not set 


了 = ECN-ECho: NOT 5et 
ACK 标志 位 置 为 1 





’ 2 










.= Urgent: Not Set 





0... = Push: NOT Set 
0.. = Resetr; NOt Sef 
Sain ds 2 = yn or sat 

sass uss ie 0 = Fin: Nor-set 


图 4-14” 断 开 连 接 时 第 四 次 握手 


经 过 上 述 四 次 握手 的 交互 过 程 ， 通 信 双 方 断 开 了 一 个 TCP 连接 。 

综 上 所 述 ，TCP 连接 建立 和 断 开 过 程 涉及 很 多 概念 。 首 先 ，TCP 报 文 的 类 型 有 很 
多 种 ， 包 括 SYN、ACK、FIN 以 及 RST 等 ， 不 同类 型 的 报 文 各 司 其 职 ; 其次，TCP 
报 文 的 内 容 比较 复杂 ， 除 了 IP 地 址 和 端口 之 外 ， 还 包括 序号 、 确 认 序号 、 各 种 标志 
位 等 。 

攻击 者 会 利用 交互 过 程 来 对 TCP 进行 攻击 ， 可 能 使 用 的 攻击 方式 有 以 下 几 种 。 
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(1) Flood 类 攻击 

例如 ， 攻 击 者 向 攻击 目标 发 送 海量 的 SYN、ACK、FIN 或 RST 报 文 ， 占 用 被 攻击 
目标 的 系统 资源 ， 使 其 无 法 提供 正常 服务 。 

(2) 连接 耗 尽 类 攻击 

例如 ， 攻 击 者 与 被 攻击 目标 完成 三 次 握手 后 不 再 发 送 报 文 但 一 直 维持 连接 ， 或 者 立 
刻 发 送 FIN 或 RST 报 文 ， 在 断 开 连接 后 快速 发 起 新 的 连接 等 ， 消 耗 TCP 连接 资源 。 

(3) 异常 报 文 类 攻击 

例如 ，TCP 报 文 中 的 标志 位 全 都 置 为 1 或 0，SYN 和 FIN 标志 位 同时 置 为 1 等 ， 
这 些 不 符合 TCP 规范 的 异常 报 文 可 能 会 导致 被 攻击 目标 的 系统 朋 溃 。 





4.3 ”SYN Flood 攻击 与 防御 


SYN Flood 指 的 是 攻击 者 利用 工具 或 者 操作 僵尸 主机 ， 向 目标 服务 器 发 起 大 量 的 
TCP SYN 报 文 ， 当 服务 器 回应 SYN-ACK 报 文 时 ， 攻 击 者 不 再 继续 回应 ACK 报 文 。 这 
时 服务 器 上 存在 大 量 的 TCP 半 连 接 ， 服 务 器 的 资源 会 被 这 些 半 连接 耗 尽 ， 无 法 响应 正常 
的 请 求 。 

华为 Anti-DDoS 解决 方案 防御 SYN Flood 攻击 的 常用 方式 是 源 认 证 ， 从 SYN 报 文 
建立 连接 的 “行为 ”入 手 ， 判 断 是 否 为 真实 源 发 出 的 请 求 。 源 认证 包括 基本 源 认 证 和 高 
级 源 认 证 ， 下 面 我 们 将 介绍 这 两 种 认证 方式 。 


4.3.1 基本 源 认 证 


基本 源 认 证 的 原理 是 Anti-DDoS 系统 代替 Web 服务 器 向 客户 端 响应 SYN-ACK 报 
文 ， 报 文中 带 有 错误 的 确认 序号 。 当 真实 的 客户 端 收 到 带 有 错误 确认 序号 的 SYN-ACK 
报 文 后 ， 会 向 服务 器 发 送 RST 报 文 ， 要 求 重 新 建立 连接 ; 而 虚假 源 收 到 带 有 错误 确认 序 
号 的 SYN-ACK 报 文 , 不 会 做 出 任何 响应 。Anti-DDoS 系统 通过 观察 客户 端的 响应 情况 ， 
来 判断 客户 端的 真实 性 ， 如 图 4-15 所 示 。 

SYN Flood 基本 源 认 证 过 程 有 以 下 4 步 。 

Q@ 当 连 续 一 段 时 间 内 去 往 目 标 服 务 器 的 SYN 报 文 超过 告警 阔 值 后 ，Anti-DDoS 系 
统 启动 源 认 证 机 制 。 源 认证 机 制 启动 后 ，Anti-DDoS 系统 将 会 代替 Web 服务 器 向 客户 端 
响应 带 有 错误 确认 序号 的 SYN-ACK 报 文 。 

@ 如 果 是 虚假 源 ， 是 一 个 不 存在 的 地 址 或 者 是 存在 的 地 址 但 却 没有 发 送 过 SYN 报 
文 ， 其 不 会 做 出 任何 响应 。 

@) 如 果 是 真实 客户 端 ， 则 会 向 服务 器 发 送 RST 报 文 ， 并 要 求 重新 建立 连接 。Anti-DDoS 
系统 收 到 RST 报 文 后 ， 将 该 客户 端的 源 他 地 址 加 入 白 名 单 。 

@ 后 续 真实 客户 端 发 出 的 SYN 报 文 命 中 白 名 单 直 接 通过 。 

基本 源 认证 方式 存在 一 定 的 局 限 性 ， 如 果 网 络 中 存在 某 些 设备 会 丢弃 带 有 错误 确认 
序号 的 SYN-ACK 报 文 ， 或 者 有 的 客户 端 不 响应 带 有 错误 确认 序号 的 SYN-ACK 报 文 ， 
基本 源 认证 就 不 会 生效 。 这 时 还 可 以 使 用 高 级 源 认证 来 验证 客户 端的 真实 性 。 
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服务 器 


黑客 










SYN 报 文 
SYN-ACK 报 文 
SYN 报 文 
SYN-ACK 报 文 


伪造 源 IP 





SYN-ACK 报 文 〈 错 误 的 确认 序号 ) 
攻击 源 没有 响应 





SYN 报 文 
SYN-ACK 报 文 (错误 的 确认 序号 ) 


图 4-15” ”SYN Flood 基本 源 认证 


4.3.2 ”高 级 源 认 证 


高 级 源 认证 的 原理 也 是 Anti-DDoS 系统 代替 Web 服务 器 向 客户 端 响应 SYN-ACK 报 
文 ， 但 与 基本 源 认证 不 同 的 是 ，SYN-ACK 报 文中 带 有 正确 的 确认 序号 。 真 实 的 客户 端 
收 到 带 有 正确 确认 序号 的 SYN-ACK 报 文 后 ， 它 会 向 服务 器 发 送 ACK 报 文 ; 而 虚假 源 
收 到 带 有 正确 确认 序号 的 SYN-ACK 报 文 后 ， 它 不 会 做 出 任何 响应 。Anti-DDoS 系统 通 
过 观察 客户 端的 响应 情况 ， 来 判断 客户 端的 真实 性 ， 如 图 4-16 所 示 。 

SYN Flood 高 级 源 认 证 过 程 有 以 下 4 步 。 

@ 当 在 连续 一 段 时 间 内 去 往 目 标 服 务 器 的 SYN 报 文 超过 告警 阐 值 时 ，Anti-DDoS 
系统 启动 源 认证 机 制 。 源 认证 机 制 启动 后 ，Anti-DDoS 系统 将 会 代替 Web 服务 器 向 客户 
端 响应 带 有 正确 确认 序号 的 SYN-ACK 报 文 。 

@ 如 果 这 个 源 是 虚假 源 ， 是 一 个 不 存在 的 地 址 或 者 是 存在 的 地 址 但 却 没有 发 送 过 
SYN 报 文 ， 其 不 会 做 出 任何 响应 。 

@) 如 果 这 个 源 是 真实 客户 端 , 其 会 向 服务 器 发 送 ACK 报 文 , 并 对 收 到 的 SYN-ACK 
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报 文 进行 确认 。Anti-DDoS 系统 收 到 ACK 报 文 后 , 将 该 客户 端的 源 人 P 地 址 加 入 白 名 单 。 
同时 ，Anti-DDoS 系统 会 向 客户 端 发 送 RST 报 文 ， 要 求 重新 建立 连接 。 





SYN 报 文 
SYN-ACK 报 文 














SYN-ACK 报 文 (正确 的 确认 序号 ) 
攻击 源 没有 响应 










SYN 报 文 
SYN-ACK 报 文正 确 的 确认 序号 ) | 
ACK 报 文 









1 

SYN-ACK 报 文 | 

ACK 报 文 | 

人 
| 


图 4-16 SYN Flood 高 级 源 认 证 


@ 后 续 这 个 客户 端 发 出 的 SYN 报 文 命中 白 名 单 直接 通过 。 

无 论 是 基本 源 认证 还 是 高 级 源 认 证 ， 其 原理 都 是 Anti-DDoS 系统 发 送 SYN-ACK 报 
文 来 对 源 进 行 认证 。Anti-DDoS 系统 收 到 SYN 报 文 后 会 反弹 SYN-ACK 报 文 。 如 果 网 络 
中 存在 海量 的 SYN 报 文 ， 同 样 Anti-DDoS 系统 也 会 反弹 出 去 海量 的 SYN-ACK 报 文 ， 
这 样 势必 会 造成 网 络 拥塞 更 加 严重 。 

为 了 避免 这 个 问题 ， 减 少 反弹 的 SYN-ACK 报 文 对 网 络 拥塞 的 影响 ，Anti-DDoS 系 
统 提供 了 首 包 丢弃 功能 。 


4.3.3 ” 首 包 丢弃 


TCP 的 可 靠 性 保证 了 面向 连接 (三 次 /四 次 握手 )， 还 体现 在 超时 与 重 传 机 制 。TCP 
规范 要 求 发 送 端 每 发 送 一 个 报 文 ， 就 启动 一 个 定时 器 并 等 待 确认 信息 ; 如 果 在 定时 器 超 
时 前 还 没有 收 到 确认 ， 就 会 重 传 报 文 。 
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首 包 丢弃 功能 就 是 利用 了 TCP 的 超时 重 传 机 制 ，Anti-DDoS 系统 对 收 到 的 第 一 个 
SYN 报 文 直接 丢弃 ， 然 后 观察 客户 端 是 否 重 传 。 如 果 客 户 端 重 传 了 SYN 报 文 ， 再 对 重 
传 的 SYN 报 文 进行 源 认证 , 即 反 弹 SYN-ACK 报 文 , 这 样 就 可 以 大 大 减少 了 反弹 报 文 的 
数量 ， 如 图 4-17 所 示 。 







SYN 报 文 


重 传 SYN 报 文 


重 传 SYN 报 文 | 
重 传 SYN 报 文 | 
















SYN 报 文 


| 
反弹 SYN-ACK 报 文 | 
。 | 
: | 

| 











图 4-17 SYN Flood 首 包 丢弃 


实际 部 署 时 ， 我 们 将 首 包 丢弃 和 源 认 证 结合 使 用 。 防 御 SYN Flood 攻击 时 ， 先 
通过 首 包 丢弃 功能 过 滤 一 些 攻 击 报 文 ， 当 重 传 的 SYN 报 文 超过 告警 益 值 后 ， 再 启 
动 源 认证 这 样 可 以 减少 反弹 的 SYN-ACK 报 文 的 数量 ， 缓 解 网 络 拥塞 情况 。 对 于 
虚假 源 攻击 ， 尤 其 是 对 于 不 断 变换 源 IP 和 源 端口 的 虚假 源 攻击 , 可 以 达到 最 佳 防 御 
效果 。 


4.4 SYN-ACK&ACK&FIN&RST Flood 攻击 与 防御 


除了 SYN 报 文 之 外 ，TCP 交互 过 程 中 还 存在 SYN-ACK、ACK、FIN 和 RST 报 
文 , 这 几 类 报 文 也 可 能 会 被 攻击 者 利用 , 海量 的 攻击 报 文 会 导致 被 攻击 目标 系统 资源 
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耗 尽 、 网 络 拥塞 ， 无 法 正常 提供 服务 。 接 下 来 我 们 介绍 几 种 常见 的 Flood 攻击 的 原理 
和 防御 方式 。 


4.4.1 SYN-ACK Flood 攻击 与 防御 


通信 双方 通过 三 次 握手 建立 一 个 TCP 连接 的 过 程 时 ，SYN-ACK 报 文 出 现在 第 二 次 
握手 中 ， 是 用 来 确认 第 一 次 握手 的 。 一 方 收 到 SYN-ACK 报 文 后 ， 首 先 会 判断 该 报 文 是 
不 是 属于 三 次 握手 范畴 之 内 的 报 文 。 如 果 还 在 进行 第 一 次 握手 便 又 收 到 了 第 二 次 握手 的 报 
文 ， 向 对 方 发 送 RST 报 文 ， 告 知 对 方 其 发 来 的 报 文 有 误 ， 不 能 建立 连接 。 

SYN-ACK Flood 攻击 是 攻击 者 利用 工具 或 者 操控 僵尸 主机 , 向 目标 服务 器 发 送 大 量 
的 SYN-ACK 报 文 ， 这 些 报 文 都 属于 凭空 出 现 的 第 二 次 握手 报 文 ， 服 务 器 忙于 回复 RST 
报 文 ， 导 致 资源 耗 尽 ， 无 法 响应 正常 的 请 求 。 

华为 Anti-DDoS 解决 方案 使 用 源 认证 方式 防御 SYN-ACK Flood 攻击 ， 其 原理 是 
Anti-DDoS 系统 向 发 送 SYN-ACK 报 文 的 源 地 址 发 送 SYN 报 文 , 相当 于 发 起 了 第 一 次 握 
手 ， 以 探测 该 地 址 是 否 真实 存在 。 如 图 4-18 所 示 ， 真实 的 源 会 向 Anti-DDoS 系统 响应 正 
确 的 SYN-ACK 报 文 ， 即 第 二 次 握手 的 报 文 ; 而 虚假 的 源 则 不 会 响应 正确 的 SYN-ACK 
报 文 。 





SYN-ACK 报 文 
RST 报 文 
SYN-ACK 报 文 




















SYN-ACK 报 文 


SYN 报 文 
攻击 源 没 有 响应 
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SYN-ACK 报 文 
SYN 报 文 
SYN-ACK 报 文 (响应 SYN 报 文 ) 
RST 报 文 





















SYN 报 文 


SYN-ACK 报 文 | 
i 


图 4-18 ”SYN-ACK 源 认 证 
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SYN-ACK Flood 源 认 证 过 程 有 以 下 4 步 。 

@ 在 连续 一 段 时 间 内 去 往 目 标 服务 器 的 SYN-ACK 报 文 超过 告警 阔 值 后 ，Anti-DDoS 
系统 启动 源 认证 机 制 。 源 认证 机 制 启动 后 ，Anti-DDoS 系统 向 发 送 SYN-ACK 报 文 的 源 地 
址 发 送 SYN 报 文 。 

@ 如 果 这 个 源 是 虚假 源 ， 其 不 会 向 Anti-DDoS 系统 响应 正确 的 SYN-ACK 报 文 。 

@) 如 果 这 个 源 是 真实 源 ， 其 会 向 Anti-DDoS 系统 响应 正确 的 SYN-ACK 报 文 。 
Anti-DDoS 系统 收 到 该 SYN-ACK 报 文 后 ， 将 该 源 瑟 地址 加 入 白 名 单 ， 同 时 会 向 源 地 址 
发 送 RST 报 文 ， 断 开 自 己 和 这 个 源 地 址 的 连接 。 

@ 后 续 这 个 源 发 出 的 SYN-ACK 报 文 命中 白 名 单 直接 通过 ,而 对 于 那些 未 匹配 白 名 单 
的 SYN-ACK 报 文 则 继续 进行 源 认证 。 

Anti-DDoS 系统 防御 SYN-ACK Flood 攻击 与 防御 SYN Flood 攻 击 时 所 采用 的 方式 类 
似 ， 都 是 采用 源 认 证 的 方式 。 

4.4.2 ACK Flood 攻击 与 防御 


在 TCP 三 次 的 握手 过 程 中 ，ACK 报 文 出 现在 第 三 次 握手 时 ， 用 以 确认 第 二 次 握手 
中 的 SYN-ACK 报 文 。ACK Flood 攻击 指 的 是 攻击 者 利用 工具 或 者 操控 僵尸 主机 ， 向 目 
标 服务 器 发 送 大 量 的 ACK 报 文 ， 服 务 器 忙于 回复 这 些 和 凭空 出 现 的 第 三 次 握手 报 文 ， 导 
致 资源 耗 尽 ， 无 法 响应 正常 的 请 求 。 

华为 Anti-DDoS 解决 方案 使 用 会 话 检查 的 方式 防御 ACK Flood 攻击 ,这 与 防御 SYN 
Flood 和 防御 SYN-ACK Flood 时 所 采用 的 方式 有 所 不 同 。 会 话 是 状态 检测 防火 墙 的 一 个 
机 制 ， 是 防火 墙 最 基本 的 功能 ， 也 是 实现 安全 防护 的 基础 技术 。 

Anti-DDoS 系统 借鉴 了 防火 墙 的 会 话机 制 ， 其 通过 检查 会 话 来 确定 ACK 报 文 的 真实 
性 。 我 们 可 以 把 Anti-DDoS 系统 看 作 是 关闭 了 链 路 状态 检查 功能 的 防火 墙 ，SYN、 
SYN-ACK、ACK 等 报 文 都 会 创建 会 话 。 一 次 正常 的 TCP 连接 建立 过 程 ， 必 须 先 有 SYN 
报 文 ， 接 着 是 SYN-ACK 报 文 ， 然 后 才 是 ACK 报 文 ， 所 谓 有 “ 因 ” 才 有 “ 果 ”。 只 有 
ACK 报 文 命中 了 会 话 这 个 “ 因 ”， 才 能 说 明 该 报 文 是 正常 交互 过 程 中 的 报 文 ， 是 真实 的 
报 文 。 

Anti-DDoS 系统 对 ACK 报 文 进行 会 话 检 查 时 , 支持 基本 和 严格 两 种 模式 ,下面 我 们 
进行 具体 讲解 。 

1. 基本 模式 | 

使 用 基本 模式 时 ，Anti-DDoS 系统 对 ACK 报 文 进行 会 话 检查 ， 如 果 ACK 报 文 没有 
命中 会 话 ，Anti-DDoS 系统 会 允许 第 一 个 ACK 报 文通 过 ， 并 建立 会 话 ， 以 此 来 对 后 续 
ACK 报 文 进行 会 话 检 查 ;， 如 果 ACK 报 文 命中 了 会 话 ， 则 继续 检查 报 文 的 序号 ， 人 允许 序 
号 正确 的 报 文通 过 ， 序 号 不 正确 的 报 文 则 被 丢弃 ， 如 图 4-19 所 示 。 

基本 模式 允许 第 一 个 ACK 报 文 通过 ， 检 查 条 件 比较 宽松 。 如 果 攻 击 者 发 送 变 源 或 
变 端口 的 ACK 报 文 ， 基 本 模式 会 允许 报 文通 过 并 建立 会 话 ， 这 样 会 导致 攻击 报 文 被 放 
过 ， 影 响 防 御 效果 。 为 此 ，Anti-DDoS 系统 还 提供 了 严格 模式 ， 检 查 条 件 更 加 严格 ， 防 
御 效 果 也 会 更 好 一 些 。 
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图 4-19 ACK Flood 基本 模式 


2. 严格 模式 

严格 模式 指 的 是 Anti-DDoS 系统 对 ACK 报 文 进行 会 话 检 查 时 , 如 果 ACK 报 文 没 有 
命中 会 话 ， 系 统 直 接 丢 弃 报 文 ;， 如果 ACK 报 文 命中 会 话 ， 并 且 序 号 正确 ， 系 统 允许 报 
文通 过 ， 如 图 4-20 所 示 。 

严格 模式 的 检查 条 件 比 较 苛 刻 ， 没 有 命中 会 话 的 ACK 报 文 都 会 被 丢弃 。 在 旁 路 部 
署 动态 引流 的 场景 ， 由 于 报 文 来 回路 径 不 一 致 ， 正 常 业 务 的 ACK 报 文 会 因为 没有 命中 
会 话 而 被 丢弃 ， 因 此 对 正常 业务 有 一 定 的 影响 。 





攻击 目标 
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4.4.3 FIN/RST Flood 攻击 与 防御 


TCP 交互 过 程 中 还 存在 FIN 报 文 和 RST 报 文 ，FIN 报 文 用 来 关闭 TCP 连接 ，RST 
报 文 用 来 断 开 TCP 连接 。 这 两 种 报 文 也 可 能 会 被 攻击 者 利用 来 发 起 DDoS 攻击 ， 导 致 目 
标 服务 器 资源 耗 尽 ， 无 法 响应 正常 的 请 求 。 

华为 Anti-DDoS 解决 方案 同样 使 用 会 话 检 查 的 方式 防御 FIN/RST Flood 攻击 。 
如 果 FIN/RST 报 文 没有 命中 会 话 ， 系 统 直接 丢弃 报 文 ; 如 果 FIN/RST 报 文 命中 会 
话 ， 系 统 则 根据 会 话 创建 原因 和 会 话 检查 结果 来 判断 该 报 文 是 否 通过 ， 如 图 4-21 
所 示 。 









SYN 报 文 : 建立 会 话 
SYN-ACK 报 文 





FIN/RST 报 文 : 命中 会 话 





图 4-21 FIN/RST Flood 会 话 检 查 


GD 如 果 会 话 是 由 SYN 报 文 或 SYN-ACK 报 文 创建 的 ， 则 允许 该 FIN/RST 报 文通 过 。 
@ 如 果 会 话 是 由 其 他 报 文 创建 的 (例如 ACK 报 文 )， 则 进一步 检查 报 文 序号 是 否 
正确 ， 人 允许 序号 正确 的 报 文通 过 ， 序 号 不 正确 的 报 文 则 被 丢弃 。 


4.5 TCP 连接 耗 尽 攻击 & 异 常 报 文 攻击 与 防御 


4.5.1 TCP 连接 耗 尽 攻击 与 防御 


TCP 是 面向 连接 的 协议 ， 其 通信 双方 必须 保持 连接 状态 ， 并 且 通 过 确认 、 重 传 、 滑 
动 窗口 等 机 制 ， 保 证 数据 传输 的 可 靠 性 和 稳定 性 。 攻 击 者 利用 TCP 的 上 述 特点 ， 利 用 
TCP 连接 消耗 被 攻击 目标 的 系统 资源 ， 这 类 攻击 的 影响 也 不 容 小 记 。 
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例如 ， 攻 击 者 与 被 攻击 目标 完成 三 次 握手 后 ， 立 刻 发 送 FIN 报 文 或 RST 报 文 , 释放 
本 端 连接 ,同时 快速 发 起 新 的 连接 ,以 此 来 消耗 被 攻击 目标 的 系统 资源 。 华 为 Anti-DDoS 
解决 方案 通过 检查 新 建 连接 的 速率 来 防御 此 类 攻击 。 首 先 ， 针 对 受 保护 目标 进行 统计 ， 
当 受 保护 目标 的 TCP 新 建 连 接 速 率 超过 阔 值 时 ， 启 动 防御 功能 。 然 后 针对 源 进 行 统计 ， 
如 果 某 个 源 严 在 指定 的 时 间 间 隔 内 发 起 的 TCP 新 建 连接 数 超过 了 阔 值 ， 则 将 该 源 耳 加 
入 黑 名 单 ， 如 图 4-22 所 示 。 





图 4-22 ”TCP 新 建 连接 数 统计 


另外 ， 攻 击 者 与 被 攻击 目标 完成 三 次 握手 后 ， 发 送 很 少 的 报 文 来 维持 连接 状态 ， 通 
过 这 种 异常 的 TCP 连接 来 消耗 被 攻击 目标 的 系统 资源 。 华 为 Anti-DDoS 解决 方案 通过 异 
常会 话 检查 来 防御 此 类 攻击 。 如 果 受 保护 目标 的 TCP 连接 上 在 特定 时 间 内 通过 的 报 文 数 
小 于 阔 值 ， 则 认为 该 连接 为 异常 会 话 。 如 果 在 特定 时 间 内 某 个 源 IP 的 异常 会 话 数 超过 阐 
值 ， 则 将 该 源 卫 加 入 黑 名 单 ， 如 图 4-23 所 示 。 

除 此 之 外 ， 攻 击 者 还 会 使 用 其 他 的 攻击 手段 ， 比 如 构造 大 量 的 并 发 连接 、 设 置 很 小 
的 TCP 窗口 、 发 送 重 传 报 文 等 ， 其 目的 都 是 消耗 被 攻击 目标 的 系统 资源 。 总 体 来 说 ， 华 
为 Anti-DDoS 解决 方案 在 防御 此 类 攻击 时 ， 要 基于 会 话机 制 ， 通 过 新 建 连接 速率 检查 、 
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并 发 连接 数 检查 、 异 常会 话 检查 等 措施 ， 将 攻击 源 加 入 黑 名 单 ， 阻 断 攻 击 流量 达到 防御 
效果 。 














图 4-23 ”TCP 连接 的 报 文 数 统计 


4.5.2 TCP 异常 报 文 攻击 与 防御 


TCP 报 文 头 中 存在 6- 个 标志 位 字段 ， 其 代表 不 同 的 含义 ， 标 志 位 的 值 置 为 1， 表示 
该 标志 位 起 作用 。 我 们 在 上 文 介绍 TCP 连接 建立 和 断 开 过 程 时 ， 提 到 过 SYN、ACK 和 
FIN 标志 位 ， 下 面 是 这 6 个 标志 位 的 详细 信息 。 

Q@ URG: 置 1 时 表示 紧急 指针 有 效 。 

@ ACK: 置 1 时 表示 确认 序号 有 效 。 

@ PSH: 置 1 时 表示 接收 方 收 到 数据 段 后 应 该 尽快 送 到 应 用 程序 。 

@ RST: 置 1 时 表示 重新 建立 连接 。 

@ SYN: 置 1 时 表示 发 起 一 个 连接 。 

@ FIN: 置 1 时 表示 发 送 方 完成 发 送 任务 ， 释 放 连 接 。 
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这 6 个 标志 位 在 TCP 交互 过 程 中 各 司 其 职 ， 标 志 位 置 必须 严格 遵循 TCP 规范。 如 
果 不 遵循 规范 随意 将 标志 位 置 0 或 置 1， 这 类 报 文 称 为 TCP 异常 报 文 。 接 收 方 处 理 这 些 
异常 报 文 时 会 消耗 系统 资源 ， 甚 至 可 能 会 导致 系统 崩溃 。 攻 击 者 也 可 以 利用 TCP 异常 报 
文 来 发 起 DDoS 攻击 ,向 被 攻击 目标 发 送 大 量 构造 的 TCP 异常 报 文 ， 导 致 被 攻击 目标 系 
统 资源 耗 尽 、 网 络 拥塞 ， 无 法 正常 提供 服务 。 

华为 Anti-DDoS 解决 方案 通过 检查 TCP 报 文 是 否 符合 协议 规范 来 防御 异常 报 文 攻 
击 。 例 如 ， 正 常情 况 下 TCP 报 文 中 六 个 标志 位 的 值 不 可 能 都 置 为 0， 当 Anti-DDoS 系统 
检查 发 现 此 类 异常 报 文 后 ， 直 接 将 报 文 丢弃 ， 如 图 4-24 所 示 。 





图 4-24 TCP 异常 标志 位 检查 


另外 , SYN 标志 位 用 来 建立 连接 , FIN 标志 位 用 来 断 开 连接 , 正常 情况 下 同一 个 TCP 
报 文中 SYN 标志 位 和 FIN 标志 位 不 可 能 同时 置 为 1。 同样 ，Anti-DDoS 系统 检查 发 现 此 
类 异常 报 文 后 ， 直 接 丢 弃 报 文 ， 如 图 4-25 所 示 。 





图 4-25 TCP 标志 位 异常 


表 4-1 给 出 了 Anti-DDoS 系统 判定 TCP 异常 报 文 的 原则 ， 通 过 这 些 检查 项 ，Anti- 
DDoS 系统 可 以 全 面 准确 地 防御 TCP 异常 报 文 攻击 。 
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表 4-1 TCP 异常 标志 位 检查 项 
六 个 标志 位 全 为 1 六 个 标志 位 全 为 0 
SYN 标志 位 和 FIN 标志 位 同时 为 1 SYN 标志 位 和 RST 标志 位 同时 为 1 
FIN 标志 位 和 RST 标志 位 同时 为 1 PSH 标志 位 、FIN 标志 位 和 URG 标志 位 同时 为 1 
仅 FIN 标志 位 为 1 仅 URG 标志 位 为 1 
仅 PSH 标志 位 为 1 带 有 载荷 的 SYN 报 文 和 SYN-ACK 报 文 











SYN 标志 位 、RST 标志 位 和 FIN 标志 位 为 1 的 分 片 报 文 
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5.3 UDP Flood 攻击 与 防御 
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5.1 热点 事件 解密 之 :“ 网游 大 战 ” 攻 击 事件 


5.1.1 事件 回顾 


游戏 是 一 种 娱乐 方式 ， 网 络 游戏 则 是 如 今 最 红火 的 一 个 门类 。 从 早期 的 魔兽 世 
界 ， 到 现在 大 红 大 紫 的 英雄 联盟 ， 网 络 游戏 的 不 断 发 展 ， 融 入 了 更 多 对 抗 性 元 素 。 
这 其 中 ， 有 战略 、 有 平衡 、 有 操作 技巧 。 网 络 游戏 比赛 也 就 有 了 一 个 高 大 上 的 名 字 ， 
电子 竞技 。 

对 许多 游戏 开发 者 而 言 ， 网 络 游戏 的 诞生 使 命 是 ,“ 通 过 互联 网 服务 中 的 网 络 游 戏 
服务 ， 提 升 全 球 人 类 生活 品质 ”。 本 节 的 案例 ， 即 是 和 网 游 有 关 。 

网 游 界 曾 发 生 了 一 起 “ 追 杀 ”事件 。 事 件 的 主角 是 PhantmL0rd( 玩 家) 和 黑客 组 
织 DERP Trolling。PhantomLOrd， 本 名 James Varga， 某 专业 游戏 小 组 的 成 员 ， 同 时 是 
美国 最 大 的 在 线 游戏 直播 平台 Twitch 的 知名 和 资深 视频 博 主 ， 经 常 一 边 参 加 游戏 对 战 
一 边 实况 直播 。DERP Trolling， 一 个 成 立 于 2011 年 的 黑客 组 织 ， 本 次 事件 中 专门 以 
“PhantomL0rd” 实 况 直 播 的 游戏 为 攻击 目标 ， 一 旦 成 功 击 倒 目 标 ， 便 会 在 推 特 上 发 布 
战果 。 事 情 看 上 去 很 简单 。 这 一 天 ，PhantmL0rd 连续 在 多 场 游戏 对 战 中 遭 到 DERP 
Trolling 的 “ 追 杀 ” 凡是 PhantmL0Ord 参加 的 网 络 游戏 ， 都 不 同 程度 地 遭 到 了 DERP 
Trolling 的 DDoS 攻击 。 英 雄 联盟 、EA 官网 、 暴 雪 战 网 、DOTA2 官网 、 企 鹅 俱乐部 等 
知名 游戏 网 站 都 因 遭 到 DDoS 攻击 而 瘫痪 。 然 而 ， 随 着 事件 的 不 断 被 挖掘 和 曝光 ， 知 
道真 相 的 玩家 们 震惊 了 。 调 查 发 现 ， 一 直 被 认为 是 受害 者 的 PhantomL0rd 实际 上 恰恰 
是 这 次 事件 的 幕后 主 使 这 是 什么 原因 呢 ? 原 来 , PhantomL0rd 经 常 参 加 一 些 游戏 对 战 
比赛 ， 既 然 是 比赛 就 会 有 胜 有 负 。 但 是 PhantomL0rd 为 了 保住 自己 “ 王 ” 的 地 位 ， 就 
偷偷 地 和 DERP Trolling 串通 :一 旦 比赛 过 程 中 PhantomL0rd 打 不 过 对 手 , DERP Trolling 
就 登场 ， 向 游戏 服务 器 发 动 DDoS 攻击 ， 让 比赛 异常 终止 ， 这 样 PhantomL0rd 就 有 翻 
盘 的 机 会 。 

这 次 事件 的 曝光 不 仅 让 PhantomL0rd 颜面 尽 失 ， 还 让 DERP Trolling 使 用 的 这 个 
DDoS 攻击 手段 “ 火 ” 了 一 把 。 那 么 DERP Trolling 到 底 使 用 了 什么 手段 呢 ? 

DERP Trolling 在 这 次 “ 追 杀 ”事件 中 ， 采 用 的 是 NTP 反射 放大 攻击 。 从 记载 来 看 ， 
DERP Trolling 应 该 是 第 一 个 利用 NTP 服务 器 进行 大 规模 反射 放大 攻击 的 黑客 组 织 。 这 
次 “ 追 杀 ” 事 件 之 后 ，NTP 反射 放大 攻击 一 夜 之 间 变 得 非常 火热 。 


5.1.2 NTP 反射 放大 攻击 


NTP (Network Time Protocol， 网 络 时 间 协 议 )， 它 是 用 来 保证 网 络 中 的 计算 机 时 间 
同步 的 协议 。 在 网 络 中 ， 计 算 机 的 时 间 同 步 非常 的 重要 。 

如 图 5-1 所 示 ，NTP 采用 服务 器 一 一 客户 端 模型 ， 它 提供 了 高 精准 度 的 时 间 校 正 机 
制 。 在 网 络 中 ，NTP 客户 端 不 以 自己 的 时 间 为 准 ， 而 是 每 隔 一 段 时 间 从 NTP 服务 器 同 
步 更 新 自身 的 时 间 。NTP 定义 了 NTP 服务 器 的 层次 结构 ， 通 过 逐 层 传播 ， 实 现时 间 同 
步 。 上 游 NTP 服务 器 通常 是 高 精度 上 且 可 靠 的 时 钟 源 ， 如 原子 钟 、 卫 星 、 天 文 台 等 ， 时 间 
同步 的 精度 得 到 了 保证 。 
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NTP 客户 端 NTP 服务 器 


现在 几 点 了 ? 
现在 时 间 是 XXX:XX:XX 





图 5-1 NTP 模型 


NTP 中 有 一 个 监控 (Monlist) 功能 ， 该 功能 用 于 监控 NTP 服务 器 。NTP 服务 器 会 
记录 与 自己 进行 过 时 间 同 步 的 客户 端 IP 地 址 的 信息 , 而 且 客 户 端 可 以 通过 一 些 命令 索要 
这 些 记录 。 每 个 NTP 服务 器 可 以 记录 进行 过 时 间 同 步 的 最 后 600 个 客户 端的 IP 地 址 ， 
当 有 客户 端 索要 这 个 记录 时 ， 如 图 5-2 所 示 ，NTP 服务 器 会 返回 这 600 个 客户 端 人 P 地 址 。 
响应 包 按照 每 6 个 IP 地 址 进行 分 割 ， 最 多 可 以 返回 100 个 响应 包 。 





NTP 客户 端 


NTP 服务 器 
之 前 和 谁 同步 过 时 间 ? 引 


这 是 最 近 同步 过 的 600 个 IP 列表 








; 100 个 响应 包 
图 5-2 NTP 监控 模型 


理解 了 NTP，NTP 反射 放大 攻击 就 容易 理解 了 。NTP 反射 放大 攻击 有 两 个 关键 点 : 
反射 和 放大 。 

1. 反射 = 

反射 就 是 把 源 IP 地 址 伪造 成 被 攻击 IP 地 址 ， 进 行 “ 传 瞎 话 ”的 行为 。 缺 少 源 认证 
机 制 的 协议 最 容易 被 利用 ， 反 射 攻 击 均 为 基于 UDP 的 无 状态 连接 协议 。NTP 正 是 基于 
UDP 进行 传输 的 。 

UDP 中 ， 正 常情 况 下 ， 客 户 端 发 送 请 求 包 到 服务 器 ， 服 务 器 返回 响应 包 给 客户 
端 ， 这 就 完成 了 一 次 交互 ， 中 间 没 有 校 验 过 程 。 由 于 UDP 是 面向 无 连接 的 NTP 服务 
器 ， 客 户 端 发 送 的 请 求 包 的 源 IP 地 址 很 容易 被 算 改 。 版 本 较 低 的 NTP 服务 器 没有 针 
对 源 IP 地 址 的 校 验 机 制 ， 如 果 把 请 求 包 的 源 IP 地 址 算 改 为 攻击 目标 的 卫 地 址 ， 最 
终 服务 器 返回 的 响应 包 就 会 被 送 到 攻击 目标 的 NTP 服务 器 中 ， 这 就 是 “反射 ”攻击 ， 
如 图 5-3 所 示 。 





NTP 服务 器 攻击 目标 
这 是 最 近 同 步 过 的 600 个 全 列表 





之 前 和 谁 同步 过 时 间 ? 





;100 个 响应 包 








图 5-3 反射 攻击 
2. 放大 
放大 ， 顾 名 思 义 ， 就 是 我 假冒 你 的 名 义 打 他 一 拳 ， 他 会 打 你 100 拳 。 黑 客 通 常 是 
利用 互联 网 的 基础 架构 来 进行 放大 攻击 。 在 网 络 中 ， 开 放 的 NTP 服务 器 非常 多 ， 如 果 


100 华为 Anti-DDoS 技术 漫谈 


黑客 利用 僵尸 主机 ， 同 时 向 NTP 服务 器 发 起 大 量 的 Monlist 请 求 ，1 个 Monlist 请 求 包 
可 以 引发 100 个 响应 包 。 通 常 ，1 个 NTP 请 求 包 有 90 字 节 的 大 小 ， 而 1 个 回应 报 文 为 
482 字 节 ，100 个 回应 报 文 是 48200 字 节 , 回应 报 文 是 请 求 报 文 的 500 倍 左右 , 如 图 5-4 
所 示 。 














NTP 服务 器 
向 NTP 服务 器 


发 起 Monlist 请 求 


人) 僵尸 主机 向 网 络 中 开放 的 NTP 服务 器 发 起 
Monlist 请 求 ， 源 IP 地 址 伪装 成 攻击 目标 


Db 
黑客 控制 僵尸 主机 ， Eo 





于 应 报 文 发 给 攻击 目标 
图 5-4 ”放大 攻击 


5.1.3 ”华为 Anti-DDoS 系统 的 解决 方案 


我 们 了 解 了 NTP 反射 放大 攻击 原理 , 其 他 的 UDP 反射 放大 攻击 也 就 都 容易 理解 了 。 
那么 ， 防 御 UDP 反射 攻击 的 有 效 方式 就 是 围绕 以 下 两 点 进行 。 

(1) 无 状态 防御 ; 

(2) 大 流量 防御 。 

华为 Anti-DDoS 系统 具有 一 套 完整 、 灵 活 的 过 滤 机 制 和 强大 的 设备 处 理 能 力 ， 可 以 
较 好 地 解决 UDP 反射 放大 攻击 。 

1. 特征 过 滤 

我 们 应 对 UDP 反射 放大 攻击 最 有 效 、 最 直接 的 防御 手段 就 是 特征 过 滤 。 其 根据 攻 
击 报 文 的 特征 ， 自 定义 过 滤 条 件 。 

UDP 反射 放大 攻击 有 两 个 特点 : 一 是 属于 UDP， 二 是 目的 端口 号 固定 。 我 们 在 防 
御 UDP 反射 放大 攻击 时 ， 从 这 两 个 特征 入 手 , 将 已 知 的 攻击 特征 ， 直接 配置 到 过 滤器 的 
参数 中 。 在 配置 静态 指纹 过 滤 后 ，Anti-DDoS 会 对 收 到 的 报 文 进行 特征 匹配 ， 对 匹配 到 
攻击 特征 的 报 文 ， 再 进行 丢弃 、 限 流 等 下 一 步 操作 ， 如 图 5-5 所 示 。 

2. 高 性 能 

这 种 大 流量 的 反射 放大 攻击 的 防御 对 防御 系统 的 性 能 要 求 也 非常 高 。Anti-DDoS 
系统 硬件 AntiDDoS8000 是 一 款 分 布 式 Anti-DDoS 设备 ， 其 容量 大 、 可 靠 性 高 、 可 扩 
展 性 强 。 
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正常 的 请 求 报 
文 未 命中 指纹 
直接 放行 





























3 ® 命中 攻击 指纹 的 






攻击 报 文 -四 报 文 关上 肖 过 
攻击 报 文 . 认 
1 
| 
图 5-5 ”特征 过 滤 


@ Anti-DDoS 设备 单 权 位 防御 性 能 最 大 支持 160G bit/s/60M bit/s， 整 机 扩容 能 力 强 ， 


其 中 AntiDDoS8160 可 以 最 大 支持 1.44TB 容量 。 


@ Anti-DDoS 设备 所 有 关键 的 组 件 都 是 1:1 备份 ， 转 发 和 控制 分 离 。 
@) 系统 扩容 只 需要 直接 插入 接口 板 或 者 业务 板 ， 接 口 板 会 自动 分 流 到 各 业务 板 ; 


业务 板 所 有 CPU 互 为 备份 ， 负 和 载 均衡 。 


5.2 UDP 解析 


UDP (User Datagram Protocol， 用 户 数据 报 协议 ) 是 一 种 传输 层 协议 ， 一 种 无 连接 
的 协议 。 它 不 提供 数据 包 的 分 组 、 组 装 ， 不 对 数据 包 的 传输 进行 确认 ， 当 报 文 被 发 送出 





去 后 ， 发 送 端 不 关心 报 文 是 否 能 够 完整 的 到 达 对 端 。 


这 个 看 似 是 缺 点 ,但 是 UDP 最 大 的 


优点 。 这 种 报 文 处 理 方式 决定 了 UDP 资源 消耗 小 、 处 理 速度 快 ， 因 此 音频 、 视 频 和 普通 


数据 传送 时 通常 使 用 UDP。 


相 比 于 前 文 介绍 的 DNS 和 HTTP，UDP 需要 关注 的 点 要 简单 很 多 。 下 面 ， 我 们 来 


了 解 UDP 报 文 格式 ， 如 图 5-6 所 示 。 


我 们 再 来 看 一 个 现 网 真实 UDP 报 文 的 抓 包 ， 如 图 5-7 所 示 。 

每 个 UDP 报 文 由 UDP 报 文 头 部 和 UDP 数据 字段 两 部 分 组 成 。 头 部 字段 由 8 个 字 
节 ，4 个 字段 组 成 ， 分 别 是 : 源 端口 号 、 目 的 端口 号 、 报 文 长 度 和 校 验 和 。 

G@ UDP 使 用 端口 号 为 不 同 的 应 用 保留 其 各 自 的 数据 传输 通道 。 比 如 DNS 协议 目的 
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端口 号 是 53; TFTP 目的 端口 号 是 69。 


0 15 16 31 


8 字 节 
图 5-6 UDP 报 文 格式 





110.7.1 4.84 210.14 .0.145 UDP: Source port: 38275 Destination port: 5060 





28 

29 10.7.1. 4.85 210,14,' ,145 UDP: Source port: 260930 Destination port: 5060 
30 .44107,7..4,.86 210.14, 0.145 UDP: Source port: 24349 Destination port: 5060 
31 4 : 

32 

mm 


图 5-7 UDP 报 文 抓 包 


@ 数据 报 的 长 度 是 指 包 括 报 头 和 数据 载荷 部 分 在 内 的 总 字 节 数 。 因 为 报头 的 长 度 
是 固定 的 ， 所 以 该 域 主要 被 用 来 计算 可 变 长 度 的 数据 载荷 部 分 。 数 据 载荷 的 最 大 长 度 根 
据 操作 环境 的 不 同 而 各 异 。 从 理论 上 说 ， 包 含 报头 在 内 的 数据 报 文 的 最 大 长 度 为 65535 
字 节 。 不 过 ， 一些 实 际 应 用 往往 会 限制 报 文 的 大 小 。 | 

@@ UDP 使 用 报头 中 的 校 验 值 来 保证 数据 的 安全 。 校 验 值 首先 在 数据 发 送 方 通过 特 
殊 的 算法 计算 得 出 ， 在 传递 到 接收 方 之 后 ， 还 需要 再 重新 计算 。 如 果菜 个 数据 报 在 传 
输 过 程 中 被 第 三 方 人 为 算 改 或 者 因 其 他 原因 遭 到 了 损坏 ， 发 送 和 接收 方 的 校 验 计算 值 
将 不 会 相符 ，UDP 可 以 检测 报 文 传输 过 程 中 是 否 出 错 。 虽然 UDP 提供 错误 检测 ,但 检 
测 到 错误 时 ,一 HBPP -不 做 错误 校正 ， 只 是 简单 地 把 损坏 的 报 文 丢弃 ， 或 者 给 应 用 程序 提 
供 警 告 信息 。 


5.3 UDP Flood 攻击 与 防御 


5.3.1 UDP Flood 攻击 原理 
UDP Flood 攻击 原理 很 简单 ， 通 常 是 黑客 控制 僵尸 主机 ， 向 目标 服务 器 发 送 大 量 的 
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UDP 报 文 ， 通 过 消耗 网 络 带宽 等 方式 ， 达 到 攻击 效果 ， 如 图 5-8 所 示 。UDP Flood 攻击 
一 般 具 有 如 下 几 种 方式 。 





口 坊 0 
服务 器 资源 耗 尽 
僵尸 主 机 


图 $-8 UDP Flood 攻击 原理 


@ 黑客 发 送 的 UDP 报 文 很 大 ， 而 且 速率 非常 快 ， 消 耗 网 络 带宽 资源 ， 严 重 时 造成 
链 路 拥塞 。 

@) 大 量 源 变 端口 的 UDP Flood 会 导致 依靠 会 话 转发 的 网 络 设 备 ， 性 能 降低 甚至 会 
话 耗 尽 ， 从 而 导致 网 络 瘫痪 。 

@ 黑客 攻击 某 个 UDP 业务 端口 ， 服 务 器 检查 报 文 的 正确 性 时 会 消耗 计算 资源 ， 影 
啊 服 务 器 的 正常 业务 。 


5.3.2 ”华为 Anti-DDoS 系统 如 何 防御 UDP Flood 攻击 


UDP 与 TCP 不 同 , UDP 是 一 种 无 连接 的 协议 , 并 且 UDP 应 用 五 花 八 门 , 差异 极 大 ， 
因此 针对 UDP Flood 的 防护 非常 困难 。 我 们 也 不 能 像 TCP 攻击 那样 进行 源 认证 , 所 以 只 
能 找 特 征 了 。 

传统 的 UDP 攻击 都 是 由 攻击 工具 打出 来 的 , 通常 会 具有 一 定 的 特征 , 尤其 在 数据 段 
会 有 一 些 相同 或 者 有 规律 变化 的 字段 。5.2 节 介绍 的 UDP 反射 放大 攻击 ， 虽 然 并 不 是 攻 
击 工具 伪造 的 UDP 报 文 ， 但 是 由 真实 网 络 设备 发 出 的 UDP 报 文 。 数 据 段 不 具备 相同 的 
特征 ， 但 是 目的 端口 却 是 固定 的 ， 也 可 以 作为 一 种 特征 。 

在 确定 攻击 报 文 的 特征 后 ， 我 们 要 根据 特征 进行 过 滤 。 特 征 过 滤 也 就 是 我 们 常 说 的 
指纹 过 滤 。 

指纹 过 滤 有 以 下 两 种 方法 。 

1. 静态 指纹 过 滤 

对 于 已 知 的 攻击 特征 ， 可 以 直接 配置 到 过 滤器 的 参数 中 。Anti-DDoS 系统 不 仅 具 有 
TCP、UDP 等 的 报 文 解析 能 力 ， 还 具有 应 用 层 报 文 解析 能 力 。 它 可 针对 应 用 层 头 部 信息 
字段 做 过 滤 。 配 置 了 静态 指纹 过 滤 后 ，Anti-DDoS 会 对 收 到 的 报 文 进行 特征 匹配 ， 对 匹 
配 到 攻击 特征 的 报 文 ， 再 进行 丢弃 、 限 流 等 下 一 步 操作 ， 如 图 5-9 所 示 。 

我 们 通过 抓 包 分 析 获 知 攻击 特征 。 人 为 识别 出 攻击 特征 ， 然 后 配置 到 过 滤器 中 。 
UDP 报 文 的 数据 段 、 源 卫 地 址 、 源 端口 ， 目 的 IP 地址、 目的 端口 都 可 能 隐藏 着 攻击 
报 文 。 
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指纹 过 滤 


服务 器 





党 
6 n 再 应 报 广 直接 放行 
请 求 报 文 I 
3 i 
| 
攻击 报 文 
je rr 命中 攻击 指纹 的 
图 攻击 报 文 -& 报 文 可 通过 
| 
性 攻击 报 文 8 
| 


图 5-9 静态 指纹 过 滤 


此 外 ，Anti-DDoS 系统 还 提供 了 14 种 常见 UDP 反射 放大 攻击 的 过 滤器 模板 ， 见 
表 5-1。 这 些 攻击 都 属于 已 知 攻击 特征 , Anti-DDoS 系统 已 经 预先 定义 好 了 攻击 特征 的 参 
数 ， 只 需要 直接 应 用 即 可 。 








表 5S-1 过 滤器 模板 
NTP 反射 放大 攻击 DNS 反射 放大 攻击 
SNMP 反射 放大 攻击 SSDP 反射 放大 攻击 
Chargen 反射 放大 攻击 QOTD 反射 放大 攻击 
TFTP 反射 放大 攻击 Quake 反射 放大 攻击 
NetBIOS 反射 放大 攻击 Wordpress 反射 放大 攻击 
Steam 反射 放大 攻击 SQL 反射 放大 攻击 
Portmapper 反射 放大 攻击 RIPV1 反射 放大 攻击 


2. 动态 指纹 学 习 

在 攻击 特征 未 知 的 情况 下 ，Anti-DDoS 系统 具有 指纹 自动 学 习 的 功能 。 对 于 一 些 攻 
击 工具 发 起 的 UDP 攻击 , 攻击 报 文 都 拥有 相同 的 特征 字段 。 指 纹 学 习 就 是 对 一 些 有 规律 
的 UDP 攻击 报 文 负载 特征 进行 识别 , 并 且 自 动 提取 出 指纹 特征 , 然后 把 这 个 提取 的 特征 
作为 过 滤 条 件 ， 自 动 应 用 并 进行 过 滤 ， 如 图 5-10 所 示 。 

当然 ， 这 个 学 习 的 偏 移 量 和 学 习 长 度 都 是 可 以 手动 配置 的 。 偏 移 量 是 从 UDP 报 文 
头 结束 处 开始 计算 , 取 值 从 0 字 节 到 1500 字 节 可 灵活 配置 ; 学 习 长 度 从 1 个 字 节 开始 配 
置 ， 最 多 可 以 学 习 8 个 字 节 。 
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图 5-10 ”动态 指纹 学 习 


传统 的 UDP Flood 攻击 是 一 种 消耗 对 方 资源 ， 也 消耗 自己 资源 的 攻击 方式 ， 黑 客 攻 
击 了 一 个 服务 器 ， 其 实 也 在 消耗 自己 的 系统 资源 。 

近 几 年 UDP 反射 放大 攻击 常 被 黑客 所 使 用 ”后续 对 UDP Flood id 攻击 的 防御 重点 也 
应 该 聚焦 在 反射 放大 攻击 上 。 
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6.1 引流 


华为 Anti-DDoS 解决 方案 的 部 署 模式 分 为 直路 部 署 、 旁 路 静态 引流 部 署 和 旁 路 动态 
引流 部 署 3 种 方式 。 除 直路 部 署 外 ， 其 他 两 种 方式 中 的 清洗 设备 都 处 于 汰 挂 位 置 ， 对 于 
这 样 的 部 署 , 异常 的 流量 要 完成 清洗 并 到 达 最 终 目 的 地 还 需要 经 过 引流 和 回 注 两 个 过 程 。 


6.1.1 ”概念 


在 直路 部 署 中 , 因为 来 回 的 流量 都 会 经 过 设备 转发 ， 
所 以 不 需要 经 过 特殊 的 操作 ， 而 当 清洗 设备 在 旁 路 部 署 
时 ， 检 测 设备 检测 到 的 有 异常 、 有 威胁 的 流量 ， 会 通过 
ATIC 通知 清洗 设备 来 进行 清洗 , 这 就 要 求 原 有 的 流量 要 
改变 当前 的 路 径 ， 进 入 到 旁 挂 的 清洗 设备 上 来 ， 这 个 过 
程 我 们 称 为 引流 。 引 流 完成 后 ， 清 洗 设 备 会 对 引进 来 的 
流量 进行 清洗 ， 即 把 异常 、 有 威胁 的 流量 剔除 ， 留 下 正 
常 的 业务 流量 。 清 洗 完成 后 ， 需 要 再 把 流量 返回 到 原 有 
的 路 径 上 ， 最 终 发 送 到 目的 地 。 这 个 返回 流量 到 原 路 径 ST 
的 过 程 就 是 回 注 ， 如 图 6-1 所 示 。 图 6-1 引流 回 注 示意 


6.1.2 分光 和 镜像 


在 详细 介绍 引流 和 回 注 之 前 ， 我 们 先 来 了 解 下 分 光 和 镜像 的 概念 。 

Anti-DDoS 解决 方案 中 ， 在 流量 清洗 之 前 ， 我 们 都 知道 还 有 一 个 很 重要 的 环节 一 一 检 
测 ， 在 网 络 部 署 中 ， 如 果 检 测 设备 独立 旁 路 部 署 ， 也 需要 将 网 络 中 的 流量 引导 到 检测 设备 
上 来 。 分 光 和 镜像 就 是 为 检测 设备 引流 的 手段 ， 不 过 我 们 引入 的 不 是 真实 的 流量 ， 而 是 复 
制 后 的 流量 。 这 是 因为 检测 设备 只 需要 检测 出 流量 中 是 否 含有 威胁 即 可 ， 至 于 检测 出 的 流 
量 是 真实 的 还 是 复制 的 是 无 所 谓 的 ， 而 且 使 用 复制 的 流量 不 会 影响 正常 业务 的 转发 。 

分 光 和 镜像 都 是 将 流量 复制 一 份 到 检测 设备 ， 但 处 理 方式 又 不 相同 。 

1. 分 光 

分 光 是 通过 分 光 器 来 完成 的 ， 它 是 一 个 独立 的 硬件 ， 数 据 通过 分 光 器 后 会 将 数据 复 
制 一 份 供 检测 设备 使 用 ， 即 原来 的 流量 正常 通行 ， 同 时 分 一 股 出 来 供 检测 设备 分 析 。 通 
过 分 光 器 复制 流量 时 ， 我 们 不 需要 配置 任何 命令 ， 只 要 有 输入 光 即 可 。 但 是 ， 这 也 带 来 
了 一 个 缺点 ， 那 就 是 引入 了 一 个 故障 点 ， 同 时 也 正 是 因为 它 是 一 个 在 线 设 备 ， 所 以 在 部 
署 时 ， 需 要 中 断 当 前 网 络 ， 这 对 业务 会 产生 一 定 的 影响 。 

2. 镜像 

镜像 分 为 端口 镜像 和 流 镜像 。 端 口 镜像 是 指 将 流 经 被 监控 端口 的 某 个 方向 〈 入 、 出 、 
双向 ) 的 所 有 报 文 复制 到 指定 的 目标 端口 进行 分 析 。 流 镜像 是 在 端口 镜像 的 基础 上 增加 了 
流 分 类 条 件 ， 只 复制 满足 特定 条 件 的 报 文 ， 过 滤 不 关心 的 报 文 ， 从 而 提高 报 文 分 析 设 备 的 
工作 效率 。 对 于 Anti-DDoS 检测 设备 来 说 , 我 们 要 分 析 所 有 进入 网 络 的 流量 是 否 存在 异常 ， 
所 以 我 们 一 般 都 是 通过 端口 镜像 功能 来 复制 流量 的 ， 如 图 6-2 所 示 。 在 端口 镜像 中 : 

G@ 被 监控 的 端口 称 为 镜像 端口 。 
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@ 指定 的 目标 端口 称 为 观察 端口 。 





一 一 镜像 流 
-一 一 复制 报 文 流 


图 6-2 端口 镜像 示意 


如 图 6-3 所 示 的 组 网 中 ， 我 们 需要 在 Routerl 上 和 检测 设备 上 配置 相关 命令 ， 具体 配置 
参考 见 表 6-1。 这 里 Routerl 以 华为 NE80E 路 由 器 为 例 ， 检测 设备 以 华为 Anti DDoS8000 系 
列 为 例 进行 介绍 。 






Routerl 


GE1/0/2 GE0/0/2 


Router2 
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表 6-1 端口 镜像 配置 表 
NE80E 路 由 器 AntiDDoS8000 系列 





1. 配置 GE1/0/1 为 观测 端口 
<Routerl> system-view 
[Routerl] interface gigabitethernet1/0/1 


[Routerl-GigabitEthernet1/0/1] port-observing 
observe-index 1 


1. 指定 业务 板子 卡 的 检测 功能 
<AntiDDoS8000> system-view 





[Routerl-GigabitEthernetl/O/1] quit [AntiDDoS8000] firewall ddos detect-spu Slot 1 card 1 

2. 配置 整 板 镜像 的 观测 端口 2. 配置 检测 设备 的 接口 功能 

[Routerl] slot 3 [AntiDDoS8000] interface gigabitethernet0/0/1 

[Routerl-slot-3] mirror to observe-index 1 ep an ons 1] anti-ddos detect 
enable 


[Routerl-slot-3] quit 





[AntDDoS8000-GigabitEthemetO/OV1] anti-ddos flow-statistic 


3. 在 GE3/0/0 上 使 能 上 行 端口 镜像 功能 bls 
[Routerl] interface gigabitethernet3/0/0 


[Routerl-GigabitEthernet3/0/0] port-mirroring 
inbound 





配置 中 ，Routerl 上 配置 观测 端口 的 索引 号 必须 与 该 接口 所 在 的 接口 板 的 槽 位 号 一 
致 。 在 slot3 上 配置 令 mirror to observe-index 1 命令 后 ， 此 观测 索引 对 应 的 观测 端口 将 作 
为 整个 3 接口 板 的 观测 端口 ， 当 此 接口 板 上 有 接口 进行 镜像 时 ， 报 文 就 会 被 镜像 到 这 个 
整 板 镜像 的 观测 端口 上 。 

完成 上 述 配 置 后 ， 端 口 GE3/0/0 上 接收 的 所 有 报 文 将 被 镜像 到 端口 GE1/0/0 上 发 往 
AntiDDoS8000 系列 检测 设备 。AntiDDoS8000 系列 检测 设备 需 设 置 相应 的 检测 板 ， 以 及 
在 接口 配置 检测 功能 和 开启 流量 统计 功能 。 完 成 这 些 配 置 后 ， 就 可 以 对 接收 的 流量 进行 
分 析 检 测 了 。 | 

对 比分 光 和 和 镜像， 它们 各 有 优 劣 ， 具 体 对 比 见 表 6-2。 
















表 6-2 分 光 和 镜像 对 比 表 
te Te 村 


需要 部 署 分 光 器 , 成 本 较 高 , 常用 于 
运营 商 网 络 


十 需要 安装 分 无 器 ， 安 装 简单 


透明 接 入 不 影响 原 有 网 络 拓扑 , 但 分 
光 会 导致 原来 网 络 的 光 信号 的 光 功 | 不 影响 原 有 的 网 络 拓扑 
率 下 降 ， 会 影响 光 信号 的 传输 距离 


安装 分 光 器 时 需要 短暂 中 断 业务 


在 网 络 部 署 中 ， 请 根据 网 络 实际 情况 进行 合理 选择 。 
华为 Anti-DDoS 解决 方案 支持 多 种 类 型 的 检测 设备 ， 其 中 ，AntiDDoS8000 系列 、 
AntiDDoS1600 系列 检测 设备 是 采用 逐 包 检测 的 方法 对 流量 进行 检测 ， 即 对 流量 中 的 所 


| 
需要 在 网 络 设备 上 增加 观测 端口 ， 不 
需要 额外 部 署 其 他 设备 或 器 件 。 成 本 
低 ， 常 用 于 企业 网 络 

需要 在 分 流 的 网 络 设备 上 配置 镜像 功 
能 ， 有 一 定 难 度 

















对 用 户 网 络 的 影响 


对 用 户 业 务 的 影响 配置 镜像 时 不 影响 正常 业务 的 转发 
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有 报 文 进行 检测 ， 所 以 通过 分 光 和 镜像 功能 将 流量 全 部 复制 到 检测 设备 上 来 。 还 有 一 些 
其 他 的 检测 设备 ， 如 华为 NFA2000V、 威 害 GenieATM 等 ， 这 类 检测 设备 是 逐 流 检测 方 
式 ， 它 们 的 检测 流量 来 源 是 通过 各 种 流 采集 分 析 协 议 来 完成 的 ， 比 如 Cisco 的 Netflow 
协议 、 华 为 的 NetStream 协议 等 。 这 类 流 采 和 集 分 析 协 议 是 对 网 络 中 不 同 的 流 进行 提取 ， 
然后 分 类 统计 ， 最 后 将 统计 信息 输出 给 检测 设备 进行 分 析 检 测 ， 而 不 是 像 分 光 和 镜像 那 
样 直 接 复制 流量 。 


6.1.3 引流 方法 


分 光 、 镜 像 是 复制 流量 输出 给 检测 设备 进行 检测 ; 流 采 集 分 析 协 议 是 提取 流量 特征 ， 
将 符合 条 件 的 流 统计 信息 给 检测 设备 进行 分 析 ， 这 些 措施 都 不 会 影响 实际 的 业务 流量 转 
发 。 然 而 对 于 清洗 设备 来 说 ， 我 们 需要 清洗 的 是 实际 业务 流量 中 的 威胁 或 异常 内 容 ， 如 
果 清 洗 设 备 旁 挂 ， 我 们 必须 要 改变 原 有 的 业务 转发 路 径 ， 把 流量 引导 到 清洗 设备 上 来 ， 
而 通过 分 光 和 镜像 等 显然 是 不 能 完成 的 。 那 当 清洗 设备 旁 路 部 署 时 ， 为 实现 流量 清洗 ， 
我 们 需要 如 何 进 行 引流 呢 ? 

华为 Anti-DDoS 解决 方案 文 持 的 引流 可 分 为 静态 引流 和 动态 引流 两 种 。 

@ 静态 引流 : 手动 创建 并 下 发 引流 策略 到 清洗 设备 引发 引流 ， 业 务 流 量 无 论 是 否 
发 生 异 常 ， 都 将 改变 原 有 流量 的 路 径 将 流量 引流 到 清洗 设备 。 

@ 动态 引流 : 检测 设备 发 现 异常 通告 管理 中 心 ， 管 理 中 心 自动 生成 引流 策略 并 下 
发 到 清洗 设备 ;攻击 结束 ， 管 理 中 心 向 清洗 设备 下 发 取消 引流 策略 。 

如 果 按照 具体 的 配置 方法 来 划分 ， 可 分 为 策略 路 由 引流 和 BGP 引流 。 

Q 策略 路 由 引流 : 在 引流 的 网 络 设备 上 配置 策略 路 由 ， 将 目的 地 址 为 防护 对 象 的 
流量 发 送 到 清洗 设备 。 

@ BGP 引流 : 通过 在 引流 的 网 络 设备 和 清洗 设备 上 配置 BGP 实现 引流 。 

策略 路 由 引流 通常 用 于 静态 引流 方式 ，BGP 引流 根据 配置 的 不 同 可 以 是 静态 引流 方 
式 ， 也 可 以 是 动态 引流 方式 。 

下 面 我 们 先 从 策略 路 由 引流 的 具体 实现 和 配置 说 起 。 

1. 策略 路 由 引流 

策略 路 由 (Policy-based Routing) 也 称 为 路 由 重 定 癌 (Redirect)， 顾 名 思 义 是 指 基 
于 策略 的 路 由 机 制 。 通 常 ， 路 由 设备 是 根据 报 文 目的 地 址 查找 路 由 表 进 行 报 文 转发 的 ， 
而 策略 路 由 是 一 种 依据 用 户 制定 的 策略 进行 路 由 选择 的 机 制 ， 策 略 路 由 的 操作 对 和 象 是 数 
据 包 ， 在 路 由 表 已 经 产生 的 情况 下 ， 不 按照 先行 路 由 表 进 行 转发 ， 而 是 根据 需要 ， 依 照 
某 种 策略 改变 其 转发 路 径 的 方法 。 

策略 路 由 引流 ， 正 是 根据 这 种 策略 ， 改 变 报 文 原 有 的 转发 路 径 ， 引 导 流 量 到 清洗 设 
备 上 来 。 

在 图 6-4 中 ，Routerl 为 引流 设备 ， 为 了 对 到 达 防 护 对 象 的 流量 进行 清洗 ， 可 以 在 
Routerl 的 GE1/0/0 接口 配置 策略 路 由 , 让 从 外 网 通过 GE1/0/0 接口 到 达 防 护 对 象 的 流量 
改变 原 有 路 径 从 GE1/0/1 接口 转发 到 清洗 设备 进行 清洗 。 

策略 路 由 引流 只 需要 在 引流 路 由 器 Routerl 的 GE1/0/0 上 配置 策略 路 由 ， 无 需 在 清 
洗 设备 上 进行 任何 配置 。Routerl 以 华为 NE80E 路 由 器 为 例 ， 有 具体 配置 如 下 。 
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GE1/0/0 


GE1/0/1 GE2/0/1 
10.1.1.1/24 0. 


1 

10.1.2.1/24 10.1.2.2/24 
策略 路 由 | 

到 1.1.1.1 的 流量 一 清洗 设备 | CR 

引流 接口 7 

到 2.2.2.2 的 流量 一 清洗 设备 、\ 

引流 接口 


ee 防护 允 | |‖ 防护 对 象 2 
了 1.1.1. ¥ LE 2.2.2.2/24 
-一 一 一 引流 流量 
一 一 一 ~ 回 注 流量 
图 6-4 策略 路 由 引流 


(1) 定义 流 分 类 
[Routerl] acl 3001 
[Routerl-acl-adv-3001] rule permit ip destination 1. 上 1.10 
[Routerl-acl-adv-3001] rule permit ip destination 2.2.2.2 0 
[Routerl-acl-adv-3001] quit 
[Routerl] traffic classifier class1 

[Routerl-classifier-class1] if-match acl 3001 

[Routerl-classifier-class1] quit 
(2) 配置 流行 为 并 配置 报 文 转发 动作 
[Routerl] traffic behavior behaviorl 
[Routerl -behaviorbehaviorl] redirect TI 10. 1 23 interface 
GigabitEthernet 1/0/1 
[Routerl-behaviorbehaviorl] quit 


(30 定义 流量 策略 并 在 策略 中 为 类 指 定 和 为 
[Routerl] traffic policy policyl 

[Routerl-trafficpolicy- policy1] classifier classl We behavitrl ~ 
[Routerl- -trafficpolicy-policy1] quit 


(4) 在 接口 上 应 用 策略 路 由 


[Routerl] interface GigabitEthernet 1/0/0 
[Routerl-GigabitEthernetl/0/0] traffic-policy policyl inbound 
Routerl-GigabitEthernetl/0/0] quit 


策略 路 由 引流 ， 配置 比较 简单 ， 操作 方便 ， 但 使 用 这 种 引流 方式 时 ， 如 果 回 注 流量 的 链 
路 Down 了 ， 业 务 流量 还 是 会 通过 策略 路 由 被 送 到 清洗 设备 上 来 ， 这 样 清洗 后 的 流量 又 不 能 
回 注 回 去 ， 势 必 造 成 业务 的 中 断 。 所 以 ， 为 了 保证 引流 策略 路 由 也 能 及 时 Down 掉 ， 我 们 可 
以 在 清洗 设备 上 配置 类 似 Link-group 的 功能 ， 将 引流 和 回 注 链 路 加 入 到 一 个 Link-group 中 ， 
形成 联动 ， 回 注 的 链 路 Down 了 ， 引 流 的 链 路 也 及 时 Down 掉 ， 从 而 保证 业务 的 正常 转发 。 

除 此 之 外 ， 策 略 路 由 引流 不 考虑 流量 中 是 否 存在 异常 ， 统 一 地 将 流 分 类 中 定义 的 所 
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有 流量 都 送 到 清洗 设备 进行 处 理 。 正 常 的 流量 也 会 转发 到 清洗 设备 上 来 ， 一 方面 影响 了 
正常 业务 的 转发 效率 ; 另 一 方面 也 会 消耗 清洗 设备 的 部 分 资源 ， 造 成 不 必要 的 浪费 。 相 
比 之 下 ，BGP 引流 会 更 加 高 效 智能 。 

2. BGP 引流 

BGP 是 一 种 用 于 自治 系统 (Autonomous System，AS) 之 间 的 动态 路 由 协议 ， 它 的 
引流 其 实 是 需要 Anti-DDoS 解决 方案 中 多 个 设备 配合 完成 的 。 

BGP 引流 分 为 静态 引流 和 动态 引流 两 种 〈 其 中 动态 引流 又 分 为 自动 和 手动 )， 它 们 
的 区 别 在 于 : 静态 引流 ， 无 论 检 测 设备 是 否 检测 到 异常 ， 管 理 中 心 都 会 生成 针对 防护 对 
象 IP 地 址 /IP 地 址 段 的 引流 任务 ， 这 种 引流 任务 需要 由 管理 员 手工 创建 ;而 动态 引流 是 
当 检 测 设备 检测 到 异常 时 ， 管 理 中 心 会 自动 生成 引流 任务 ,引流 任务 生成 后 系统 会 将 其 
直接 下 发 (自动 ) 或 者 通过 管理 员 手 动 下 发 〈 手 动 ) 到 清洗 设备 。 有 异常 或 攻击 结束 后 ， 
系统 会 自动 取消 引流 。 

不 管 是 BGP 的 静态 引流 还 是 动态 引流 ， 管 理 中 心 都 会 下 发 一 条 引流 任务 到 清洗 设 
备 ， 此 时 ， 清 洗 设 备 上 会 为 每 个 防护 对 象 自动 生成 一 条 32 位 主机 UNR (User Network 
Route， 用 户 网 络 路 由 )， 此 路 由 的 下 一 跳 为 与 清洗 设备 回 注 接 口 直 连 的 路 由 设备 的 接口 
地 址 ， 即 下 图 中 Routerl 的 GE1/0/2 接口 地 址 。 

生成 路 由 后 ,清洗 设备 会 将 这 条 UNR 路 由 引入 BGP 中 ,并 通过 BGP 发 布 给 BGP 邻 
居 Router1， 此 时 ，Routerl 上 就 会 有 一 条 目的 地 址 为 防护 对 象 、 下 一 跳 为 清洗 设备 的 引 
流 接口 的 32 位 主机 路 由 。 

后 续 ，Routerl 收 到 .Internet 发 来 的 到 防护 对 象 的 报 文 时 ， 查 找 路 由 表 ， 根 据 最 长 掩 码 
匹配 原则 ， 优 先 匹配 这 条 路 由 ， 从 而 转发 到 清洗 设备 上 来 进行 流量 清洗 ， 如 图 6-5 所 示 。 







AS 100 


GE1/0/1 GE2/0/1 
10.1.2.1/24 10.1.2.2/24 ”清洗 设备 


和 一 一 一 一 一 一 一 一 












Routerl 


防护 对 象 -一 一 = 引流 流量 
-一 一 了 > 回 注 流量 


图 6-5 BGP 引流 
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BGP 引流 需要 在 Router1、 清 洗 设 备 和 管理 中 心 上 配置 ， 引 流 部 分 的 具体 配置 步骤 
如 下 。 

首先 ， 在 管理 中 心 界 面 上 选择 “防御 > 策略 配置 > 引流 ” 创建 引流 任务 ， 配 置 被 保 
护 的 卫 地 址 为 1.1.1.1， 子 网 掩 码 为 255.255.255.255， 单 击 “ 确 定 ”。 

然后 在 清洗 设备 上 , 设置 32 位 主机 UNR 路 由 下 一 跳 地 址 , 这 里 的 下 一 跳 为 Routerl 
回 注 接 口 GE1/0/2 的 全 地址。 

[sysname] firewall ddos bgp-next-hop 10.1.3.1 

上 述 步骤 配置 完成 后 ， 清 洗 设备 上 会 生成 一 条 到 达 1.1.1.1 的 32 位 主机 UNR 路 由 ， 
下 一 跳 为 10.1.3.1。 


[sysname] display ip routing-table 

Route Flags: R - relay, D - download to fib 

Routing Tables: Public ， 
Destinations : 8 Routes :8 


Destination/Mask Proto Pre Cost Flags NextHop Interface 
LEELS2 Direct 0 0 D 10.1.3.1 GigabitEthemet2/0/2 
---- More ---- 


关于 BGP 部 分 的 配置 见 表 -6-3， 其 中 Routerl 以 华为 NE80E 路 由 器 为 例 。 


表 6-3 BGP 引流 关键 配置 
1 ” “清洗 设备 


[sysname]| route-policy 1 permit node 1 
[sysname-route-policy] apply community no-advertise 
[sysname-route-policy] quit 

[sysname] bgp 100 

[sysname-bgp] peer 10.1.2.1 as-number 100 
[sysname-bgp] Import-route unr 

[sysname-bgp] ipv4-family unicast 
[sysname-bgp-af-ipv4] peer 10.1.2.1 route-policy 1 export 
[sysname-bgp-af-ipv4] peer 10.1.2.1 advertise-community 
[sysname-bgp-af-ipv4] quit 

[sysname-bgp] quit 



















[Routerl] bgp 100 
[Routerl-bgp] peer 10.1.2.2 as-number 100 
[Routerl-bgp] quit 





配置 apply community no-advertise 命令 ， 用 于 设置 团体 属性 ， 其 在 BGP 路 由 策略 中 
应 用 后 ,通告 对 等 体 Routerl 接收 此 32 位 主机 路 由 后 不 再 对 其 他 任何 对 等 体 发 布 此 路 由 ， 
因为 此 路 由 只 用 于 对 需要 清洗 的 流量 进行 引流 ， 对 外 发 布 可 能 会 造成 不 可 预知 的 影响 ， 


如 路 由 环 路 等 。 

相 比 策略 路 由 引流 ，BGP 引流 更 加 灵活 ， 既 能 对 防护 对 象 进行 静态 引流 ， 达 到 策略 
路 由 引流 的 效果 ， 也 能 根据 流量 异常 情况 进行 动态 智能 化 引流 ， 合 理 控制 清洗 设备 的 资 
源 ， 方 便 管 理 员 维护 管理 。 

引流 完成 后 ， 清 洗 设备 会 对 异常 流量 进行 清洗 。 清 洗 后 的 正常 流量 需要 通过 回 注 过 
程 让 业务 流量 能 够 回 到 原 有 网 络 中 。 
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6.2 回 注 


6.2.1 ”常用 回 注 方 法 


在 华为 Anti-DDoS 解决 方案 中 ， 能 够 将 清洗 后 的 流量 回 注 到 原 网 络 中 的 配置 方法 有 
很 多 ， 常 用 的 有 如 下 几 种 。 

Q 二 层 回 注 : 清洗 设备 通过 二 层 方式 将 流量 回 注 到 防护 对 象 ， 而 不 通过 路 由 转发 。 

@ 静态 路 由 回 注 : 通过 在 清洗 设备 上 配置 静态 路 由 ; -引导 清洗 后 的 流量 回 到 原 网 
络 中 。 

@) UNR 路 由 回 注 : 与 静态 路 由 类 似 , 通过 在 清洗 设备 上 生成 的 UNR 路 由 , 将 清洗 
后 的 流量 回 注 到 原 网 络 ， 最 后 送 到 防护 对 象 。 

@ 策略 路 由 回 注 ;. 通过 在 清洗 设备 和 路 由 器 上 配置 策略 路 由 ， 将 清洗 后 的 流量 回 
注 到 不 同 的 路 径 ， 最 后 送 到 防护 对 象 。 

@ GRE tunnel 回 注 : 通过 在 清洗 设备 和 回 注 路 由 器 之 间 建 立 GRE 隧道 ， 将 流量 直 
接送 到 回 注 路 由 器 上 ， 最 后 送 到 防护 对 象 。- 

@ MPLS LSP 回 注 : 清洗 设备 和 回 注 路 由 器 之 间 建 立 MPLS LSP， 清 洗 后 的 流量 在 
清洗 设备 上 被 打上 单 层 标签 ， 之 后 按 预 先 建立 好 的 LSP 将 其 回 注 到 原 链 路 ， 最 后 送 到 防 
护 对 象 。 

@ MPLS VPN 回 注 : 清洗 设备 和 回 注 路 由 器 之 间 建 立 MPLS L3VPN， 将 清洗 后 的 
流量 通过 MPLS L3VPN 回 注 到 原 链 路 ， 最 后 送 到 防护 对 象 。 

该 如 何 选择 回 注 方式 呢 ? 在 Anti-DDoS 解决 方案 中 ， 引 流 和 回 注 是 配合 使 用 的 ， 我 
们 推荐 的 引流 回 注 方案 见 表 6-4。 

表 6-4 引流 回 注 方案 对 应 表 
流量 引导 方案 |， 策 几 路 由 引流 《 骨 术 引流) | 
静态 路 由 回 注 V 
UNR 路 由 回 注 x 
策略 路 由 回 注 4 
GRE tunnel 回 注 区 

x 
Xx 





BGP 引流 (前 太 315 





/动态 引流 ) 

















.| 


MPLS LSP 回 注 
MPLS VPN 回 注 


一 方面 我 们 可 以 根据 引流 策略 来 选择 匹配 的 回 注 方式 ， 另 一 方面 我 们 也 要 考虑 网 络 
的 实际 部 署 情况 适合 何 种 回 注 策 略 。 表 6-4 中 我 们 已 经 有 推荐 的 配套 方案 ， 接 下 来 我 们 
将 详细 介绍 各 种 回 注 方 式 的 特点 、 适 用 场景 以 及 相关 的 配置 。 

1， 二 层 回 注 

二 层 回 注 应 用 于 清洗 设备 和 防护 对 象 之 间 都 是 二 层 网 络 的 场景 ， 在 这 种 部 署 中 ， 清 
洗 设 备 上 回 注 口 的 IP 地 址 和 防护 对 象 的 属于 同一 网 段 。 完 成 流量 清洗 后 , 清洗 设备 通过 





Y 
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ARP 报 文 获得 防护 对 象 目的 卫 的 MAC 地 址 , 而 后 将 清洗 后 的 正常 流量 发 送 到 核心 交换 
机 ， 最 终 发 送 到 防护 对 象 。 

在 图 6-6 中 ， 清 洗 设 备 旁 路 部 署 在 核心 三 层 交 换 机 Switchl 上 ， 通 过 接口 GE2/0/1 
与 Switchl 接口 GE1/0/1 直 连 。 在 清洗 设备 上 配置 子 接口 GE2/0/1.10 和 GE2/0/1.20 分 别 
关联 Switchl 上 的 VLAN10 和 VLAN20 后 ， 形 成 两 个 逻辑 通道 ,一 个 用 作 引 流 ， 一 个 用 
作 回 注 。 





GE1/0/1 GE270/1.10 
VLANI10 10.1.2.2/24 






Switchl 清洗 设备 





“VLAN20 GE2/0/1.20 
10.1.3.2/24 









Switeh2 Switch 1 VLANIF 10: 10.1.2.1/24 


VLANIF 20: 10.1.3.1/24 


| 防护 对 象 -一 一 一 引流 流量 


10.1.3.10/24 > 
sy -一 一 一 回 注 流量 
CC 
图 6-6 二 层 回 注 


对 于 引流 ,在 前 面 的 章节 中 有 详细 介绍 ， 它 可 以 通过 配置 BGP 功能 来 完成 。 而 清洗 
后 的 流量 ， 配 置 二 层 回 注 后 ， 清 洗 设 备 会 发 送 ARP Request 报 文 请 求 防护 对 象 IP 对 应 的 
MAC 地 址 ， ee 清洗 设备 将 清洗 后 的 流量 根据 获取 的 MAC 地 址 等 
信息 进行 二 层 封 装 ， 然 后 经 过 二 层 交 换 机 回 注 到 防护 对 象 。 表 6-5 中 列 出 了 关于 引流 回 
注 的 具体 配置 ， ee S9300 系列 为 例 。 


表 6-5 i 













# 届时 了 接口 GE201 10 po P p 地 址 ， 并 关联 VLAN10 
<sysname> System-viewW 
[sysname] interface GigabitEthernet 2/0/1.10 
[sysname-GigabitEthernet2/0/1.10] vlan-type dotlq 10 





创建 VLAN 
<switch1l> system-view 
[Switch1] vlan 10 
[switchl-vlan10] quit 





[switch1] vlan 20 [sysname-GigabitEthernet2/0/1.10] ip address 10.1.2.2 
[switchl-vlan20] quit 24 
配置 接口 属性 并 关联 VLAN [sysname-GigabitEthernet2/0/1.10] qui 


# 配置 子 接口 GE2/0/1.20 的 他 地 址 ， 并 关联 VLAN20 
[sysname] interface GigabitEthernet 2/0/1.20 

[sysname-GigabitEthernet2/0/1.20] vlan-type dot1q 20 
[sysname-GigabitEthernet2/0/1.20] ip address 10.1.3.2 24 
[sysname-GigabitEthernet2/0/1.20] quit 


[switch1] interface gigabitethernet 1/0/1 
[switchl-GigabitEthernet1l/0/1] port link-type 
trunk 


[switchl-GigabitEthernet1/0/1] port trunk allow- 
pass vlan 10 20 
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[switchl-GigabitEthernet1/0/1] quit 

[switch1] interface gigabitethernet 1/0/2 
[switch1-GigabitEthernetl/0/2] port link-type 
trunk 


[Switch1-GigabitEthernetl/0/2] port trunk allow- 
pass vlan 20 
[switchl-GigabitEthernet1/0/2] quit 

配置 VLANIF 接口 的 IP 地址 

[switch1] interface vlanif 10 
[switchl-Vlanif10] ip address 10.1.2.1 24 
[switchl-Vlanif10] quit 

[switch1] interface vlanif 20 
[Switch1-Vlanif20] ip address 10.1.3.1 24 
[Switch1-Vlanif20] quit 

配置 BGP 功能 

[Switch1] bgp 100 

[Switch1-bgp] peer 10.1.2.2 as-number 100 
[switchl-bgp] quit 
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# 配置 生成 动态 路 由 时 使 用 的 下 一 跳 地 址 
[Sysname] firewall ddos bgp-next-hop 10.1.2.1 

# 对 生成 的 32 位 主机 UNR 路 由 进行 FIB 过 滤 
[sysname]| firewall ddos bgp-next-hop fib-filter 

# 配置 BGP 功能 及 团体 属性 

[Sysname] route-policy 1 permit node 1 
[sysname-route-policy] apply community no-advertise 
[sysname-route-policy] quit 

[sysname] bgp 100- 一 

[sysname-bgp] peer 10.1.2.1 as-number 100 
[sysname-bgp] import-route unr 

[sysname-bgp] ipv4-family unicast 
[sysname-bgp-af-ipv4] peer 10.1.2.1 route-policy 1 export 
[sysname-bgp-af-ipv4] peer 10.1.2.1 advertise-community 
[sysname-bgp-af-ipv4] quit 

[sysname-bgp] guit 

# 在 清洗 口 开 启 流量 统计 功能 

[sysname] interface GigabitEthernet 2/0/1.10 
[sysname-GigabitEthernet2/0/1.10] anti-ddos flow-statistic 


enable 
[sysname-GigabitEthernet2/0/1.10] quit 





在 上 述 配 置 中 ，BGP 的 配置 用 于 引流 ， 引 流 的 配置 还 需要 在 管理 中 心 上 进 行 相 
义 设 置 。 二 层 回 注 的 配置 比较 简单 ， 只 需要 在 核心 交换 机 Switchl 上 让 与 清洗 设备 回 注 
接口 互联 的 接口 和 连接 防护 对 象 的 接口 加 入 同一 VLAN 即 可 , 保证 二 层 连接 互通 。 当 然 
核心 交换 机 到 防护 对 象 之 间 要 求 没有 三 层 设 备 。 相 对 于 其 他 辐 注 方法 而 言 ， 二 层 回 注 是 
唯一 的 一 个 不 需要 通过 路 由 回 注 清洗 后 流量 的 回 注 方法 。 

2.， UNR 路 由 回 注 

UNR 一 般 是 通过 非 本 设备 配置 的 路 由 , 与 1IGP、BGP、 静 态 路 由 、 直 连 路 由 等 路 
由 一 样 ， 可 以 添加 到 路 由 表 中 指导 报 文 转发 。 我 们 知道 ， 在 BGP 引流 中 ， 管 理 员 通 
过 ATIC 创建 引流 任务 ， 配 置 被 保护 的 防护 对 象 地 址 ， 同 时 在 清洗 设备 上 配置 下 一 跳 
IP 地 址 , 就 会 在 清洗 设备 上 生成 一 条 目的 地 址 为 防护 对 象 的 UNR。 此 UNR 被 清洗 设 
备 上 BGP 引入 后 发 布 给 引流 设备 ， 从 而 对 需要 清洗 的 流量 进行 引流 , 这 就 是 UNR 在 
引流 中 的 作用 ， 如 图 6-7 所 示 。 

除 此 之 外 ,这 条 UNR 也 可 以 对 清洗 后 的 流量 进行 回 注 。 如 图 6-7 组 网 中 ,清洗 设备 
和 ATIC 完成 配置 后 ， 清 洗 设 备 上 会 生成 一 条 到 达 1.1.1.1 的 32 位 主机 UNR， 下 一 跳 为 
Routerl 的 回 注 接口 GE1/0/2 的 IP 地 址 10.1.3.1。 完 成 流量 清洗 后 ,根据 路 由 查找 的 最 长 
掩 码 匹配 原则 ， 优 先 选择 此 UNR， 将 清洗 后 的 流量 回 注 到 Router1， 此 为 UNR 在 流量 回 
注 中 的 应 用 。 

大 家 可 能 会 想到 , 在 BGP 引流 的 时 候 ，Routerl 从 清洗 设备 BGP 发 布 的 路 由 中 学 习 
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到 这 条 32 位 主机 路 由 , 访问 防护 对 象 的 流量 被 此 路 由 送 到 了 清洗 设备 。 现 在 ,清洗 设备 
又 将 这 条 流 送 到 了 Router1， 此 时 ，Routerl 上 还 会 匹配 这 条 主机 路 由 将 回 注 回来 的 流量 
再 送 到 清洗 设备 ， 如 此 循环 往复 ， 就 成 了 环 路 。 所 以 ， 为 了 将 清洗 后 的 流量 最 终 送 到 防 
护 对 象 ， 我 们 还 需要 在 Routerl 上 配置 策略 路 由 ， 让 从 回 注 接口 GE1/0/2 进来 的 流量 都 
从 GE1/0/3 进行 转发 。 





Routerl | GE10/ GE2/0/1 


10.1.2.1/24 10.1.2.2/24 ”清洗 设备 






Fr 
| GE1/0/2 ”GE2/0/2 
110.1.3.1/24 10.1.3.2/24 










GE1/0/3 
10.1.5.1/24 
| 


GE1/0/1 


10.1.5.2/24 





Router2 


er 
> 


( 


| 防护 对 象 -一 一 引流 流量 
1.1.1.1/24 -一 一 回 注 流量 


图 6-7 UNR 回 注 


关于 引流 回 注 的 具体 配置 见 表 6-6， 其 中 Routerl 以 华为 NE8OE 路 由 器 为 例 。 
表 6-6 UNR 路 由 回 注 关 键 配 置 
# 配置 生成 动态 路 由 时 使 用 的 下 一 跳 地 址 
<sysname> system-view 

[sysname] firewall ddos bgp-next-hop 10.1.3.1 

# 配置 BGP 功能 及 团体 属性 

[sysname] route-policy 1 permit node 1 
[sysname-route-policy] apply community no-advertise 
[sysname-route-policy] quit 

[sysname] bgp 100 

[sysname-bgp] peer 10.1.2.1 as-number 100 
[sysname-bgp] import-route unr 

[sysname-bgp] ipv4-family unicast 
[sysname-bgp-af-ipv4] peer 10.1.2.1 route-policy 1 
export 


[sysname-bgp-af-ipv4] peer 10.1.2.1 advertise- 
community 





配置 BGP 功能 
[Routerl] bgp 100 

[Routerl-bgp] peer 10.1.2.2 as-number 100 
[Routerl-bgp] guit 一 一 一 
在 接口 GE1/0/2 配置 策略 路 由 

# 定义 流 分 类 

[Routerl] acl 3001 

[Routerl-acl-adv-3001] rule permit ip 
[Routerl-acl-adv-3001] quit ， 

[Routerl] traffic classifier classl 
[Routerl-classifier-class1] if-match acl 3001 
[Routerl-classifier-class1] quit 

# 配置 流行 为 并 配置 报 文 转 发 动作 
[Routerl] traffic behavior behaviorl 
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Faute 
[Router1-behavior-behaviorl] redirect ip-nexthop 
10.1.5.2 interface GigabitEthernet 1/0/3 
[Router1-behavior-behaviorl] quit 

# 定义 流量 策略 并 在 策略 中 为 类 指定 行为 

[Routerl] traffic policy policyl 

[Routerl -trafficpolicy-policy1] classifier classl behavior 
, behaviorl 

[Routerl-trafficpolicy-policy1] quit 

# 在 接口 上 应 用 策略 路 由 

ERouterl] interface GigabitEthernet 1/0/2 
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[sysname-bgp-af-ipv4] quit 
[sysname-bgp] quit 
# 在 清洗 口 开 启 流 量 统计 功能 


[sysname] interface GigabitEthernet 2/0/1 
[sysname-GigabitEthernet2/0/1] anti-ddos flow-statistic 
enable 

[sysname-GigabitEthernet2/0/1] quit 


[Routerl-GigabitEthernet1/0/2] traffic-policy policyl 
inbound 


[Routerl-GigabitEthernet1/0/2] quit | 


除了 上 面 的 配置 外 ， 还 需要 在 管理 中 心 界 面 上 选择 “防御 > 策略 配置 > 引流 ”， 创 建 
引流 任务 ， 配 置 被 保护 的 了 PP 地 址 为 1.1.1.1， 子 网 掩 码 为 255.255.255.255， 单 击 “ 确 定 ”。 
如 此 才能 在 清洗 设备 上 生成 UNR。 

整个 配置 比较 简单 ， 策 略 路 由 和 BGP 引流 的 配置 在 前 面 都 有 详细 介绍 ， 这 里 我 们 
不 再 细 分 解 。 而 回 注 的 配置 就 是 生成 这 条 UNR 的 配置 ， 以 及 回 注 路 由 器 上 的 策略 路 由 
配置 。 

在 实际 应 用 中 ， 回 注 路 由 器 可 以 与 引流 路 由 器 是 同一 个 ， 也 可 以 不 是 同一 个 ， 如 可 
以 是 Router1， 也 可 以 是 其 他 下 行路 由 器 〈 如 Router2 )。 

3. 静态 路 由 回 注 

静态 路 由 回 注 与 UNR 回 注 使 用 场景 和 配置 基本 相同 ， 不 同 之 处 有 以 下 几 点 。 

Q@ 既然 是 静态 路 由 回 注 肯 定 会 配置 静态 路 由 ,事实 上 这 条 静态 路 由 与 UNR 除了 协 
议 类 型 不 同 ， 其 他 基本 一 样 ， 目 的 地 址 都 是 防护 对 象 ， 下 一 跳 也 都 为 回 注 路 由 器 上 的 回 
注 接口 地 址 。 两 个 路 由 产生 的 区 别 在 于 静态 路 由 是 在 清洗 设备 上 手动 配置 的 ， 而 UNR 
是 在 管理 中 心 和 清洗 设备 上 进行 相应 设置 后 自动 生成 的 ， 且 掩 码 固定 为 32 位 。 

@ 静态 路 由 回 注 还 需要 在 清洗 设备 上 配置 一 条 firewall ddos bgp-next-hop fib-filter 
命令 ,表示 过 滤 清 洗 设备 生成 的 UNR， 使 清洗 设备 上 的 报 文 不 能 根据 其 进行 转发 。 这 是 
因为 UNR 掩 码 是 32 位 ， 在 路 由 查找 中 根据 掩 码 最 长 匹配 原则 ， 报 文 首先 匹配 的 是 这 条 
UNR， 为 了 不 影响 流量 通过 其 他 回 注 策略 转发 ， 就 需要 在 清洗 设备 上 配置 此 命令 过 滤 生 
成 的 这 条 UNR， 使 其 不 下 发 到 FIB 表 中 。 除 二 层 回 注 和 UNR 回 注 外 ， 其 他 所 有 的 回 注 
策略 都 需要 配置 此 命令 。 

除 以 上 两 点 外 ， 静 态 路 由 回 注 能 与 两 种 引流 方法 配合 使 用 ， 而 UNR 回 注 只 能 与 BGP 
引流 成 匹配 方案 。 

静态 路 由 回 注 如 果 与 BGP 引流 配合 , 它 的 配置 除 增加 回 注 的 静态 路 由 和 过 滤 UNR 
的 命令 外 ， 其 他 配置 与 UNR 回 注 完 全 相同 ; 静态 路 由 与 策略 路 由 引流 配合 使 用 时 ， 回 
注 的 配置 只 需 按 要 求 配置 静态 路 由 即 可 。 因 为 配置 比较 简单 ， 我 们 不 再 详细 列 出 具体 
的 配置 。 
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以 上 3 种 回 注 方法 虽然 配置 简单 ， 但 适用 场景 也 相对 有 限 ， 网 络 拓扑 不 能 太 复杂 ， 
比如 二 层 回 注 要 求 回 注 网 络 固定 为 二 层 ; UNR 回 注 只 适用 于 单 回 注 链 路 的 场景 ， 并 且 与 
BGP 引流 配合 使 用 时 ， 还 要 在 引流 设备 上 通过 一 定 的 方法 避免 路 由 环 路 的 隐患 ， 增 加 了 
引流 设备 上 的 配置 难度 ， 显 然 只 有 这 些 回 注 方法 是 不 能 满足 各 种 网 络 情况 下 的 流量 回 注 
需求 的 。 为 此 , 我 们 引入 了 策略 路 由 和 GRE 两 种 回 注 方法 , 在 一 定 程度 上 能 解决 相关 问 
题 ， 比 如 策略 路 由 回 注 能 应 用 在 多 回 注 链 路 的 场景 中 ; GRE 回 注 能 直接 避 开 引流 路 由 ， 
将 回 注 流量 直接 送 到 下 行 学 习 不 到 引流 路 由 的 路 由 器 上 ， 避 免 了 路 由 环 路 的 问题 。 

4. 策略 路 由 回 注 

在 讲解 引流 的 章节 中 ， 我 们 介绍 过 策略 路 由 ， 策 略 路 由 是 依照 某 种 策略 改变 报 文 转 
发 路 径 的 方法 ， 很 显然 通过 策略 路 由 这 种 改变 报 文 转发 路 径 的 策略 ， 我 们 也 能 将 清洗 后 
的 流量 回 注 到 原来 的 路 径 上 去 。 

策略 路 由 回 注 可 以 与 BGP 引流 和 策略 路 由 引流 配合 使 用 ， 但 部 署 配置 上 有 所 区 别 。 

在 图 6-8 中 ，Routerl 为 引流 路 由 器 ， 引 流 流 量 从 GE1/0/1 接口 进入 清洗 设备 ， 完 成 
流量 清洗 后 ， 在 清洗 设备 上 通过 配置 策略 路 由 可 以 让 访问 不 同 防护 对 象 的 流量 进入 不 同 
的 回 注 通道 返回 到 原 有 网 络 中 。 






Routerl 


i -一 一 一 引流 流量 
-一 一 -> 回 注 流量 
图 6-8 策略 路 由 回 注 
(1) 清洗 设备 
流量 清洗 后 通过 策略 路 由 回 注 到 Routerl 时 ，Routerl 会 根据 路 由 表 转 发 还 会 将 流量 
送 回 清洗 设备 ， 从 而 形成 路 由 环 路 。 所 以 ， 还 需要 在 Routerl 的 回 注 入 接口 上 配置 策略 
路 由 ， 将 回 注 流量 送 到 下 行 Router2 或 Router 3， 继 续 转 发 。 路 由 回 注 过 程 如 下 。 
Q 在 清洗 设备 的 引流 入 接口 GE2/0/1 上 应 用 策略 路 由 , 将 不 同 防护 对 象 的 流量 回 注 
到 Routerl 不 同 的 接口 GE1/0/2 和 GE1/0/3。 
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@ 在 Routerl 回 注入 接口 GE1/0/2 和 GE1/0/3 上 分 别 应 用 策略 路 由 ， 将 流量 送 给 下 
行 Router2 或 Router3， 最 后 将 流量 送 到 防护 对 象 。 


(2) 策略 路 由 


Routerl 和 清洗 设备 之 间 不 存在 路 由 环 路 的 问题 ， 


只 需要 在 清洗 设备 上 应 用 策略 


路 由 ， 就 可 以 实现 回 注 的 过 程 ， 有 具体 过 程 如 下 。 
@ 在 清洗 设备 的 引流 入 接口 GE2/0/1 上 应 用 策略 路 由 ， 将 不 同 防护 对 象 的 流量 回 注 


到 Routerl 不 同 的 接口 。 


@@ 回 注 流量 到 达 Routerl 后 ， 通 过 查找 路 由 表 ， 将 流量 送 到 下 行 Router2 或 Router3， 


最 后 将 流量 送 到 防护 对 象 。 


下 面 我 们 以 BGP 引流 与 策略 路 由 回 注 为 例 , 讲解 具体 的 配置 ,其 中 各 接口 地 址 规划 





见 表 6-7。 
表 6-7 






接口 地 址 规划 















10.1.2.2/24 

清洗 设备 10.1.3.2/24 
GE1/0/1 10.1.2.1/24 

10.1.3.1/24 

Routerl 10.1.4.1/24 
10.1.5.1/24 

GE1/0/5 10.1.6.1/24 

Router2 GE1/0/1 10.1.5.2/24 
Router3 10.1.6.2/24 

配置 见 表 6-8。 


表 6-8 





配置 BGP 功能 

[Routerl] bgp 100 

[Routerl-bgp] peer 10.1.2.2 as-number 100 
[Routerl-bgp] quit 

在 接口 GE1/072 配置 策略 路 由 

# 定义 流 分 类 

[Routerl] acl 3001 


[Routerl-acl-adv-3001] rule permit ip source 
1.1.1.0 0.0.0.255 


[Routerl-acl-adv-3001] quit 

[Routerl] traffic classifier classl 
[Routerl-classifier-class1] if-match acl 3001 
[Router1l-classifier-class1] quit 

# 配置 流行 为 并 配置 报 文 转 发 动作 
[Routerl] traffic behavior behaviorl 


[Router1l-behavior-behaviorl] redirect ip-nexthop 
10.1.5.2 interface GigabitEthernet 1/0/4 





策略 路 由 回 注 关键 配置 


# 配置 生成 动态 路 由 时 使 用 的 下 一 跳 地 址 
<sysname> system-view 

[sysname] firewall ddos bgp-next-hop 10.1.3.1 

# 对 生成 的 32 位 主机 UNR 进行 FIB 过 滤 
[sysname] firewall ddos bgp-next-hop fib-filter 

# 配置 BGP 功能 及 团体 属性 

[sysname] route-policy 1 permit node 1 
[sysname-route-policy] apply community no-advertise 
[sysname-route-policy] quit 

[sysname] bgp 100 

[sysname-bgp] peer 10.1.2.1 as-number 100 
[sysname-bgp] import-route unr 

[sysname-bgp] ipv4-family unicast 
[sysname-bgp-af-ipv4] peer 10.1.2.1 route-policy 1 
export 

[sysname-bgp-af-ipv4] peer 10.1.2.1 advertise-community 
[sysname-bgp-af-ipv4] quit 
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[Routerl-behavior-behaviorl1] quit 

# 定义 流量 策略 并 在 策略 中 为 类 指定 行为 
[Routerl] traffic policy policy1l 
[Routerl-trafficpolicy-policy1] 
behavior behaviorl 

[Routerl -trafficpolicy-policy1] quit 

# 在 GE1/0/2 接口 上 应 用 策略 路 由 
[Routerl] interface GigabitEthernet 1/0/2 


[Routerl-GigabitEthernet1/0/2] traffic-policy policy1 
inbound 


[Routerl-GigabitEthernet1/0/2] quit 
在 接口 GE1/0/3 配置 策略 路 由 
# 定义 流 分 类 

[Routerl] acl 3002 


[Routerl-acl-adv-3002] rule permit ip source 
2.2.2.0 0.0.0.255 


[Routerl-acl-adv-3002] quit 

[Routerl] traffic classifier class2 
[Routerl-classifier-class2] if-match acl 3002 
[Routerl-classifier-class2] quit 

# 配置 流行 为 并 配置 报 文 转发 动作 
[Routerl] traffic behavior behavior2 


[Routerl-behavior-behavior2] redirect ip-nexthop 
10.1.6.2 interface GigabitEthernet 1/0/5 
[Routerl-behavior-behavior2] quit 

# 定义 流量 策略 并 在 策略 中 为 类 指定 行为 
[Routerl] traffic policy policy2 
[Routerl-trafficpolicy-policy2] 
behavior behavior2 
[Routerl-trafficpolicy-policyl1] quit 

# 在 GE1/0/3 接口 上 应 用 策略 路 由 

[Routerl] interface GigabitEthernet 1/0/3 
[Routerl-GigabitEthernetl/0/3] traffic-policy policy2 
inbound 

[Routerl-GigabitEthernet1/0/2] quit 


classifier classl 


classifier class2 
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( 续 表 ) 


[sysname-bgp] quit 
# 在 清洗 口 开启 流量 统计 功能 
[sysname] interface GigabitEthernet 2/0/1 


[sysname-GigabitEthernet2/0/1] anti-ddos flow-statistic 
enable 

[sysname-GigabitEthernet2/0/1] quit 

# 在 清洗 设备 接口 GE2/0/1 配置 策略 路 由 , 实现 回 注 
功能 ， 让 访问 不 同 防护 对 象 的 流量 从 不 同 接口 转发 
[Sysname] policy-based-route 

[sysname-policy-pbr] rule name huizhul 
[sysname-policy-pbr-rule-hulzhul] ingress-interface 
GigabitEthernet 2/0/1 
[sysname-policy-pbr-rule-huizhul] 
destination-address 1.1.1.1 24 
[sysname-policy-pbr-rule-huizhul] action pbr egress- 
interface GigabitEthernet 2/0/2 next-hop 10.1.3.1 
[sysname-policy-pbr-rule-huizhul] quit 
[sysname-policy-pbrj rule name huizhu2 
[sysname-policy-pbr-rule-huizhu2] ingress-interface 
GigabitEthernet 2/0/1 
[sysname-policy-pbr-rule-huizhu2] 
destination-address 2.2.2.2 24 
[sysname-policy-pbr-rule-huizhu2] action pbr egress- 
interface GigabitEthernet 2/0/3 next-hop 10.1.4.1 
[sysname-policy-pbr-rule-huizhu2] quit 
[sysname-policy-pbr] quit 


因为 是 BGP 引流 ， 因 此 还 需要 在 管理 中 心 界面 上 ， 选 择 “ 防 御 > 策略 配置 > 引流 ”， 
创建 引流 任务 ， 配 置 被 保护 的 卫 地址 为 1.1.1.1 和 2.2.2.2， 子 网 掩 码 为 235.255.255.255， 单 
击 “ 确 定 ”。 如 此 才能 在 清洗 设备 上 生成 UNR。 

策略 路 由 回 注 配置 关键 是 要 找 准 入 口 和 出 口 ， 了 解 流量 从 哪 进 ， 从 哪 出 ， 特 别 是 当 


出 现 多 个 回 注 出 口 时 ， 不 要 混淆 。 


策略 路 由 回 注 是 一 种 常用 的 回 注 方式 ， 
略 路 由 回 注 配置 简单 ， 通 常 推荐 用 户 使 用 。 


5. GRE 回 注 


一 般 用 于 存在 多 个 回 注 接口 的 情况 。 由 于 策 


GRE (General Routing Encapsulation， 通 用 路 由 封装 协议 ) 是 一 种 三 层 VPN 封装 技术 。 
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GRE 的 用 途 一 般 是 对 某 些 网 络 层 协议 〈( 如 IPX、Apple Talk、 了 等) 的 报 文 进行 封装 ， 使 封装 
后 的 报 文 能 够 在 另 一 张 网 络 中 〈 如 IPv4) 传输 ， 从 而 解决 跨越 异种 网 络 的 报 文 传输 问题 。 然 
而 ， 在 GER 回 注 中 使 用 GRE 隧道 是 让 报 文 跨越 直 连 网 络 ， 能 够 传输 到 更 远 的 网 络 。 

在 图 6-9 中 ，Routerl 为 引流 路 由 器 ， 引 流 流量 通过 GE1/0/1 接口 进入 清洗 设备 ， 完 
成 流量 清洗 后 ， 回 注 的 流量 是 通过 GRE 隧道 直接 传输 到 Router2 。 








GEI1/0/1 GE2/0/l loopback 


Ra | 10,1:2.1/24 10.12.2/24 2.2.22/32 


GE1/0/3 | 
10.1.5.1/24 





>》 e 
GE1/0/2 GE2/0/2 清洗 设备 





GE1/0/1 10.1.3.1/24 10.1:3.2/24 
10.1.5.2/24{ \ 
Route 
loopback 
3.3.3.3/32 
G3 办 | 防护 对 象 -一 一 一 引流 流量 
全 I L1132 -二 二 -和 回 注 流量 
LD 


图 6-9 ”GER 回 注 


引流 方式 为 BGP 引流 的 场景 ，GRE 回 注 可 以 直接 避 开 引流 路 由 ， 将 回 注 流 量 直 接 
送 到 下 行 学 习 不 到 引流 路 由 的 路 由 器 ， 避 免 了 路 由 环 路 的 问题 。 可 能 大 家 会 问 ， 不 通过 
GRE 隧道 ， 我 们 也 可 以 将 回 注 链 路 通过 物理 连 线 直 接连 到 Router2， 这 样 也 能 避 开 路 由 
环 路 。 是 的 ， 确 实 是 这 样 ， 但 是 在 Routerl 下 面 有 很 多 路 由 设备 的 情况 下 ， 如 果 我 们 要 
创建 多 条 回 注 链 路 , 会 给 物理 线路 上 的 部 署 增加 很 多 成 本 , 而 GRE 隧道 的 逻辑 连接 却 不 
存在 这 样 的 问题 ， 只 要 保证 清洗 设备 到 各 回 注 路 由 器 之 间 路 由 可 达 即 可 。 

GER 回 注 的 配置 见 表 6-9， 其 中 Routerl 和 Router2 以 华为 路 由 器 NE8OE 为 例 。 

表 6-9 GER 回 注 关键 配置 表 






、 ”清洗 设备 
在 清洗 设备 上 配置 GRE 功能 
创建 Tunnel 接口 ， 并 指定 源 端 接口 和 目的 端 接口 。 
<sysname> system-view 

[sysname] interface Tunnel 1 

[sysname-Tunnell] tunnel-protocol gre 
[sysname-Tunnell] ip address 10.1.1.1 255.255.255.0 
[sysname-Tunnell] source 2.2.2.2 

[sysname-Tunnell] destination 3.3.3.3 
[sysname-Tunnell] quit 

将 Tunnel 接口 加 入 安全 区 域 。Tunnel 接口 加 入 的 安 
全 区 域 与 源 端 接口 GE2/0/2 在 同一 个 安全 区 域 












配置 Router2 的 loopback 地 址 

<Router2> set board-type slot 1 tunnel 
<Router2> system-view 

[Router2] interface loopback 1 
[Router2-LoopBackl] ip address 3.3.3.3 32 
[Router2-LoopBackl] target-board 1 
[Router2-LoopBack1] binding tunnel gre 
[Router2-LoopBack1l] quit 

创建 Tunnel 接口 ， 并 指定 源 端 接口 和 目的 端 
接口 


[Router2] interface Tunnel 1 
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[Router2-Tunnell] tunnel-protocol gre 
[Router2-Tunnell] ip address 10.1.1.2 255.255.255.0 
[Router2-Tunnell] source 3.3.3.3 
[Router2-Tunnell] destination 2.2.2.2 
[Router2-Tunnell] quit 

配置 OSPF, 通告 各 接口 所 连 网 段 卫 地 址 路 由 
[Router2] ospf 1 

[Router2-ospf-1] area 0 


[Router2-ospf-1-area-0.0.0.0] network 10.1.5.0 
0.0.0.255 


[Router2-ospf-1-area-0.0.0.0] network 
0.0.0.255 


[Router2-osp 信 1-area-0.0.0.0] network 3.3.3.3 
0.0.0.0 


[Router2-ospf-1-area-0.0.0.0] quit 
[Router2-ospf-1] quit 


1 了 





配置 OSPF, 通告 各 接口 所 连 网 段 IP 地 址 路 由 


[Routerl] ospf 1 
[Routerl-ospf-1] area 0 


[Routerl-ospf-1-area-0.0.0.0] network 10.1.3.0 
0.0.0.255 


[Routerl-ospf-1-area-0.0.0.0] network 10.1.5.0 
0.0.0.255 


[Routerl-ospf-1-area-0.0.0.0] quit 
[Routerl-ospf-1] quit 

配置 Routerl 的 BGP 功能 。 

[Routerl] bgp 100 > 
[Routerl-bgp] peer 10.1.2.2 as-number 100 
[Routerl-bgp] quit 








[sysname] firewall zone trust 
[sysname-zone-trust] add interface Tunnel 1 
[sysname-zone-trust] quit 

配置 策略 路 由 ， 将 流量 下 一 跳 指向 Tunnel 接 
[sysname] policy-based-route 
[sysname-policy-pbr| rule name grel 
[sysname-policy-pbr-rule-gre1] 
GigabitEthernet 2/0/1 
[sysname-policy-pbr-rule-grel | destination-address 1.1.1.1 32 
[sysname-policy-pbr-rule-grel] action pbr egress-interface 
Tunnel 1 

[sysname-policy-pbr-rule-grel] quit 
[sysname-policy-pbr] quit 

在 清洗 设备 上 ， 配 置 生成 动态 路 由 时 使 用 的 下 一 跳 
地 址 

[Sysname] firewall ddos bgp-next-hop 10.1.3.1 

对 生成 的 32 位 主机 UNR 进行 FIB 过 滤 

[sysname] firewall ddos bgp-next-hop fib-filter 

在 清洗 设备 上 配置 BGP 功能 及 团体 属性 

[sysname] route-policy 1 permit node 1 
[sysname-route-policy] apply community no-advertise 
[sysname-route-policy] quit 


也 





ingress-interface 


























[sysname] bgp 100 

[sysname-bgp] peer 10.1.2.1 as-number 100 
[sysname-bgp] import-route unr 

[sysname-bgp] ipv4-family unicast 
[sysname-bgp-af-ipv4] peer 10.1.2.1 route-policy 1 export 
[sysname-bgp-af-ipv4] peer 10.1.2.1 advertise-community 
[sysname-bgp-af-ipv4] quit 

[sysname-bgp] quit 

在 清洗 设备 的 清洗 口 开启 流量 统计 功能 

[sysname] interface GigabitEthernet 2/0/1 


[sysname-GigabitEthernet2/0/1] anti-ddos flow-statistic 
enable 


[sysname-GigabitEthernet2/0/1] quit 

配置 清洗 设备 的 loopback 地 址 

[sysname] interface loopback 1 
[sysname-LoopBack1| ip address 2.2.2.2 32 
[sysname-LoopBackl] quit 

配置 OSPF， 通 告 各 接口 所 连 网 段 耳 地 址 路 由 
[sysname] ospf 1 

[sysname-ospf-1] area 0 

[sysname-ospf-1-area-0.0.0.0] network 10.1.3.0 0.0.0.255 
[sysname-ospf-1-area-0.0.0.0] network 2.2.2.2 0.0.0.0 
[sysname-ospf-1-area-0.0.0.0] quit 

[sysname-ospf-1] quit 
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除了 上 面 的 配置 外 , 通过 BGP 引流 都 需要 在 管理 中 心 上 进行 相关 设置 , 具体 的 设置 
在 前 面 的 章节 中 都 有 详细 介绍 ， 本 节 中 不 再 袭 述 。 

从 配置 中 我 们 看 到 ， 除 引流 、GRE 隧道 以 及 OSPF 动态 路 由 协议 配置 外 ， 清 洗 设 备 
上 还 配置 了 策略 路 由 ， 目 的 是 让 清洗 后 的 流量 从 Tunnell 接口 (GER 隧道 ) 直接 传送 到 
Router2， 最 终 送 到 防护 对 象 。 所 以 ，GRE 回 注 过 程 是 通过 策略 路 由 配合 GRE 隧道 来 完 

GRE 回 注 虽 然 成 功 地 避 开 了 BGP 引流 路 由 ， 避 免 了 路 由 环 路 的 问题 ， 但 是 在 多 回 
注 通道 场景 中 , 依然 需要 管理 员 手 动 配置 命令 建立 多 个 GRE 隧道 , 如 果 网 络 拓扑 发 生变 
化 ， 管 理 员 还 需要 手动 进行 大 量 的 配置 调整 ， 维 护 成 本 比较 高 。 

策略 路 由 回 注 也 存在 上 述 的 问题 ， 当 网 络 变化 较 大 一 县 防护 对 和 象 IP 地 址 很 分 散 时 ， 
可 能 需要 配置 大 量 的 策略 路 由 。 这 时 ， 一 方面 需要 大 量 的 人 力 维护 ， 另 一 方面 ， 清 洗 设 
备 上 配置 过 多 策略 路 由 也 会 影响 系统 性 能 。 对 此 , 我 们 推荐 配置 MPLS 回 注 方式 。MPLS 
回 注 包 含 MPLS LSP 回 注 和 MPLS VPN 回 注 两 种 方式 。 

6. MPLS LSP 回 注 

MPLS (Multiprotocol Label Switching;， 多 协议 标签 交换 技术 ) 网 络 的 基本 组 成 单元 
是 标签 交换 路 由 器 (Label Switching Router，LSR)， 由 LSR 构成 的 网 络 区 域 称 为 MPLS 
域 (MPLS Domain)。MPLS 基于 标签 进行 转发 。IP 包 进 入 MPLS 网 络 时 ，MPLS 入 口 
的 边缘 路 由 器 (Label Edge Router，LER) 分 析 IP 包 的 内 容 并 且 为 这 些 IP 包 添 加 合适 的 
标签 ， 所 有 . MPLS 网 络 中 的 节点 都 是 依据 标签 来 转发 数据 的 。 当 该 卫 包 离 开 MPLS 网 
络 时 , 标签 由 出 口 LER 删除 。 IP 包 在 MPLS 网 络 中 经 过 的 路 径 称 为 标签 交换 路 径 (Label 
Switched Path，LSP)。LSP 是 一 个 单 向 路 径 ， 与 数据 流 的 方向 一 致 ， 如 图 6-10 所 示 。 


Non-MPLS 
network 





MPLS network 







Transit 





Transit 








Core LSR 





LER Core LSR 


图 6-10 MPLS 转发 示意 


在 回 注 策略 中 ,MPLS LSP 回 注 就 是 让 清洗 后 的 流量 通过 这 条 LSP 回 注 到 原来 路 径 。 

在 图 6-11 中 ，Routerl 为 引流 路 由 器 , 访问 防护 对 和 象 的 流量 通过 BGP 引流 到 清洗 设 
备 进 行 清洗 ， 清 洗 完成 后 ， 再 通过 MPLS LSP 回 注 将 清洗 后 的 流量 打上 一 层 标签 ， 按 预 
先 建 立 好 的 LSP 回 注 到 原 链 路 。 

LSP 的 建立 过 程 实际 就 是 将 转发 等 价 类 (Forwarding Equivalence Class，FEC) 和 标 
签 进行 绑 定 ， 并 将 这 种 绑 定 通告 LSP 上 的 相 邻 LSR。FEC 是 一 组 具有 某 些 共性 的 数据 流 的 
集合 。 这 些 数据 流 在 转发 过 程 中 被 LSR 以 相同 方式 处 理 。 在 传统 的 采用 最 长 匹配 算法 的 下 
转发 中 ， 到 同一 条 路 由 的 所 有 报 文 就 是 一 个 转发 等 价 类 ， 图 6-11 所 示 的 防护 对 象 1.1.1.1/24、 
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2.2.2.2/24 就 是 不 同 的 EFC。 
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图 6-11 - MPLS LSP 回 注 


在 图 6-11 的 组 网 中 ，LSP 建立 过 程 如 下 。 

MPLS 网 络 的 边缘 节点 (图 中 的 Router2、Router3 ) 发 现 自己 的 路 由 表 中 出 现 了 新 
的 主机 路 由 《比如 新 加 入 防护 对 象 )， 并 且 此 路 由 的 目的 地 址 不 属于 任何 现 有 的 FEC， 
则 该 边缘 节点 需要 为 这 一 目的 地 址 建立 一 个 新 的 FEC。 在 边缘 节点 的 路 由 设备 上 
(Router2、Router3 ) 为 FEC 分 配 标签 ， 并 主动 向 上 游 发 出 标签 映射 消息 ， 标 签 映射 消息 
中 包含 分 配 的 标签 和 绑 定 的 FEC 等 信息 。 收 到 标签 映射 消息 的 LSR 在 其 标签 转发 表 中 
增加 相应 的 条 目 ， 然 后 主动 向 上 游 LSR 发 送 指定 FEC 的 标签 映射 消息 。 当 入 节点 LSR 
(清洗 设备 ) 收 到 标签 映射 消息 时 ， 它 也 需要 在 标签 转发 表 中 增加 相应 的 条 目 。 这 时 ， 就 
完成 了 LSP 的 建立 ， 接 下 来 就 可 以 对 该 FEC 对 应 的 数据 分 组 进行 标签 转发 ， 即 清洗 后 
流量 根据 标签 转发 到 最 终 防 护 对 象 。 

按 上 述 组 网 部 署 ，MPLS LSP 回 注 的 具体 配置 见 表 6-10， 其 中 Routerl、Router2、 
Router3 以 华为 NE8OE 为 例 。 


表 6-10 MPLS LSP 回 注 关 键 配 置 






Router1 
配置 Routerl 的 BGP 功能 
[Routerl] bgp 100 
[Routerl-bgp] peer 10.1.2.2 as-number 100 
[Routerl-bgp] quit 
配置 Routerl 的 loopback 地 址 


“清洗 设备 . 2 
在 清洗 设备 上 , 配置 生成 动态 路 由 时 使 用 的 下 一 
跳 地 址 
<sysname> system-view 
[Sysname] firewall ddos bgp-next-hop 10.1.3.1 
对 生成 的 32 位 主机 UNR 路 由 进行 FIB 过 滤 。 
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[Routerl] interface loopback 1 
[Router1-LoopBackl] ip address 5.5.5.5 32 
[Router1-LoopBackl] quit 

配置 MPLS 

# 配置 MPLS 基本 功能 

[Routerl] mpls lsr-id 5.5.5.5 

[Routerl1] mpls 

[Routerl-mpls] quit 

[Routerl] mpls ldp 

[Routerl-ldp] quit 

[Routerl] interface GigabitEthernet 1/0/1 
[Routerl-GigabitEthernet1/0/1] mpls 
[Routerl-GigabitEthernet1/0/1] mpls ldp 
[Routerl-GigabitEthernet1/0/1] quit 

[Routerl] interface GigabitEthernet 1/0/3 
[Routerl-GigabitEthernetl/0/3] mpls 
[Routerl-GigabitEthernet1/0/3] mpls ldp 
[Routerl-GigabitEthernet1/0/3] quit 

配置 OSPF， 通 告 各 接口 所 连 网 段 IP 地 址 和 LSR 
ID 主机 路 由 

[Router1] ospf 1 

[Router1-ospf-1] area 0 

[Routerl-osp 他 1-area-0.0.0.0] network 10.1.3.0 0.0.0.255 
[Routerl-osp 他 1-area-0.0.0.0] network 10.1.5.0 0.0.0.255 
[Routerl-ospf-I-area-0.0.0.0] network 5.5.5.5 0.0.0.0 
[Routerl-ospf-1-area-0.0.0.0] quit 

[Routerl-ospf-1] quit 





配置 





[sysname] firewall ddos bgp-next-hop fib-filter 

在 清洗 设备 上 配置 BGP 功能 及 团体 属性 
[sysname] route-policy 1 permit node 1 
[sysname-route-policy] apply community no-advertise 
[sysname-route-policy] quit 

[sysname] bgp 100 

[sysname-bgp] peer 10.1.2.1 as-number 100 
[sysname-bgp] Import-route unr 

[sysname-bgp] ipv4-family unicast 
[sysname-bgp=af-ipv4] peer 10.1.2.1 route-policy 1 
export 

[sysname-bgp-af-ipv4] peer 10.1.2.1 advertise-community 
[sysname-bgp-af-ipv4] quit 

[sysname-bgp] quit 

在 清洗 设备 的 清洗 口 开启 流量 统计 功能 
[sysname] interface GigabitEthernet 2/0/1 


[sysname-GigabitEthermet2/0/1] anti-ddos flow-statistic 
enable 


[sysname-GigabitEthernet2/0/1] quit 

配置 清洗 设备 的 loopback 地 址 

[sysname| interface loopback 1 
[sysname-LoopBack1] ip address 6.6.6.6 32 
[sysname-LoopBack1] quit 

在 清洗 设备 上 配置 MPLS 功能 ， 实 现 回 注 功 能 
# 配置 MPLS 基本 功能 

[sysname] mpls lsr-id 6.6.6.6 

[sysname] mpls 

[sysname-mpls] quit 

[sysname] mpls ldp 

[sysname-ldp] quit 

[sysname] interface GigabitEthernet 2/0/3 
[sysname-GigabitEthernet2/0/3] mpls 
[sysname-GigabitEthernet2/0/3] mpls ldp 
[sysname-GigabitEthernet2/0/3] quit 

# 配置 LSP 的 触发 建立 策略 

[sysname] mpls 

[sysname-mpls] lsp-trigger all 

[sysname-mpls] quit 

配置 OSPF, 通告 各 接口 所 连 网 段 IP 地 址 和 LSR 
ID 主机 路 由 

[sysname] ospf 1 

[sysname-ospf-1] area 0 
[sysname-ospf-1-area-0.0.0.0] network 10.1.3.0 0.0.0.255 
[sysname-ospf-1-area-0.0.0.0] network 6.6.6.6 0.0.0.0 
[sysname-ospf-1-area-0.0.0.0] quit 
[sysname-ospf-1] quit 
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Router2 
配置 Routerl 的 loopback 地 址 
[Router2] interface loopback 1 
[Router2-LoopBackl] ip address 7.7.7.7 32 
[Router2-LoopBackl] quit 
配置 MPLS 
# 配置 MPLS 基本 功能 
[Router2] mpls lsr-id 7.7.7.7 
[Router2] mpls 
[Router2-mpls] quit 
[Router2] mpls ldp 
[Router2-ldp] quit 
[Router2] interface GigabitEthernet 1/0/1 
[Router2-GigabitEthernet1/0/1] mpls 
[Router2-GigabitEthermet1/0/1] mpls ldp 
[Router2-GigabitEthernet1/0/1] quit 
# 配置 LSP 的 触发 建立 策略 
[Router2] mpls 
[Router2-mpls] lsp-trigger all 
[Router2-mpls] quit 
配置 OSPF， 通 告 各 接口 所 连 网 段 IP 地 址 和 LSR 
ID 主机 路 由 
[Router2] ospf 1 
[Router2-ospf-1] area 0 
[Router2-osp 人 1-area-0.0.0.0] network 10.1.4.0 0.0.0.255 
[Router2-osp 他 1-area-0.0.0.0] network 1.1.1.0 0.0.0.255 
[Router2-osp 人 1-area-0.0.0.0] network 7.7.7.7 0.0.0.0 
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( 续 表 ) 

Router3 
配置 Routerl 的 loopback 地 址 
[Router3] interface loopback 1 
[Router3-LoopBackl] ip address 8.8.8.8 32 
[Router3-LoopBackl] quit 
配置 MPLS 
# 配置 MPLS 基本 功能 
[Router3] mpls lsr-id 8.8.8.8 
[Router3] mpls 
[Router3-mpls] quit 
[Router3] mpls ldp 
[Router3-ldp] quit 
[Router3] interface GigabitEthernet 1/0/1 
[Router3-GigabitEthernet1/0/1] mpls 
[Router3-GigabitEthernet1/0/1] mpls ldp 
[Router3-GigabitEthernet1/0/1] quit 
# 配置 LSP 的 触发 建立 策略 
[Router3] mpls 
[Router3-mpls] lsp-trigger all 
[Router3-mpls] quit 
配置 OSPF, 通告 各 接口 所 连 网 段 JP 地址 和 LSR 
ID 主机 路 由 
[Router3] ospf 1 
[Router3-ospf-1] area 0 
[Router3-ospf-1-area-0.0.0.0] network 10.1;5.0 0.0.0.255 
[Router3-ospf-1-area-0.0.0.0] network 2.2.2.2 0.0.0.255 
[Router3-ospf-1-area-0.0.0.0] network 8.8.8.8 0.0.0.0 


[Router2-ospf-1-area-0.0.0.0] quit 
[Router2-ospf-1] quit 


[Router3-ospf-1-area-0.0.0.0] quit 
[Router3-ospf-1] quit 

在 MPLS LSP 回 注 中 ，LSP 的 建立 是 基于 LDP (Label Distribution Protocol， 标 签 分 
发 协议 ) 动 态 协 商 完成 的 , LDP 规定 了 标签 分 发 过 程 中 的 各 种 消息 以 及 相关 的 处 理 过 程 。 
LSR 之 间 将 依据 本 地 转发 表 中 对 应 于 一 个 特定 FEC 的 入 标签 、 下 一 跳 节点 、 出 标签 等 信 
息 联系 在 一 起 ， 从 而 形成 LSP。 所 以 在 配置 时 ， 流 量 回 注 路 径 上 的 所 有 路 由 设备 和 相关 
接口 上 都 需要 配置 MPLS 和 LDP 功能 。 同 时 , 在 清洗 设备 和 接 入 防护 对 象 的 路 由 设备 上 
配置 触发 建立 LSP 的 策略 的 命令 1sp-trigger all， 让 不 同 FEC 触发 建立 LSP 通道 , 清洗 后 
的 流量 通过 此 通道 完成 回 注 。 

7. MPLS VPN 回 注 

目前 MPLS 在 网 络 中 最 常用 的 用 法 还 是 在 应 用 于 VPN 中 。 如 果 在 加 入 清洗 设备 之 
前 ， 网 络 中 有 已 经 有 相关 MPLS VPN 的 部 署 ， 在 加 入 清洗 设备 后 ， 清 洗 后 的 流量 可 以 通 
过 配置 MPLS VPN 来 进行 回 注 。 

MPLS VPN 是 一 个 L3VPN 技术 , 它 使 用 BGP 在 网 络 中 发 布 VPN 路 由 , 使 用 MPLS 
转发 VPN 报 文 。 与 MPLS LSP 回 注 类 似 ， 清 洗 后 的 流量 通过 标签 转发 ， 不 过 ,在 MPLS 
VPN 回 注 中 ， 转 发 的 报 文 带 有 两 层 标 签 ， 外 层 标 签 通过 运行 LDP 来 分 配 ， 指 示 如 何 到 
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达 BGP 下 一 跳 ， 内 层 标签 由 MP-BGP 来 分 配 ， 表 示 报 文 的 出 接口 或 者 属于 哪个 VPN。 
在 图 6-12 中 ， 清 洗 设备 作为 Ingress PE (Provider Edge) 设备 ，Router3 作为 Egress 
PE 设备 ， 双 方 建立 MPLS VPN， 清 洗 后 的 流量 通过 此 VPN 隧道 完成 回 注 。 
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图 6-12 MPLS VPN 回 注 





建立 MPLS VPN, 首先 需要 在 清洗 设备 和 Router3 上 要 创建 VPN 实例 ， 并 且 要 在 清 
洗 设 备 和 Router3 上 分 别 将 引流 接口 和 接 入 防护 对 象 的 接口 加 入 各 自 的 VPN 实例 中 。 其 
次 ， 在 回 注 的 路 径 的 所 有 了 E 和 了 (Provider) 设备 (Router1、Router2) 及 相关 接口 上 配 
置 MPLS 基本 能 力 和 MPLS LDP， 建 立 LDP LSP。 最 后 ， 在 清洗 设备 和 Router3 上 建立 
MP-IBGP 对 等 体 关 系 ， 使 两 PE 之 间 传 递 VPNv4 路 由 信息 ， 实 现 VPN 实例 间 的 通信 。 
具体 的 配置 见 表 6-11。 












































表 6-11 MPLS VPN 回 注 关 键 配置 
在 清 洗 设备 本 配置 生成 动态 路 由 时 使 用 的 下 一 中 配置 Router3 的 loopback 地 址 
地 址 [Router3] interface loopback 1 
<sysname> system-view [Router3-LoopBackl] ip address 3.3.3.3 32 
[sysname] firewall ddos bgp-next-hop 10.1.2.1 [Router3-LoopBackl] quit 
对 生成 的 32 位 主机 UNR 进行 FIB 过 渡 配置 MPLS 
[sysname] firewall ddos bgp-next-hop fib-filter # 配置 MPLS 基本 功能 
创建 VPN 实例 ， 并 在 清洗 设备 上 配置 BGP 功能 [Router3] mpls lsr-id 3.3.3.3 
团体 属性 [Router3] mpls 
[sysname] ip vpn-instance ddos [Router3-mpls] quit 
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( 续 表 ) 
[sysname-vpn-instance-ddos] ipv4-family [Router3] mpls ldp 
[sysname-vpn-instance-ddos-af-ipv4] [Router3-ldp] quit 
route-distinguisher 1:1 [Router3] interface GigabitEthernet 1/0/1 
[sysname-vpn-instance-ddos-af-ipv4] vpn-target 1:1 | [Router3-GigabitEthernetl/0/1] mpls 
import-extcommunity [Router3-GigabitEthernet1/0/1] mpls ldp 
[sysname-vpn-instance-ddos-af-ipv4] quit [Router3-GigabitEthernet1/0/1] quit 
[sysname-vpn-instance-ddos] quit # 创建 VPN 实例 ， 并 配置 接口 绑 定 VPN 实例 
[sysname] ip ip-prefix ipx index 10 permit 3.3.3.3 32 [Router3] ip vpn-instance ddos 
[sysname] route-policy 1 deny node 1 [Router3-vpn-instance-ddos] route-distinguisher 
[sysname-route-policy] if-match ip next-hop ip-prefix ipx | 1:1 
[sysname-route-policy] quit [Router3-vpn-instance-ddos] vpn-target 1:1 export- 
[sysname] route-policy 1 permit node 5 extcommunity ~ 


[sysname-route-policy] apply community no-advertise | [Router3-vpn-instance-ddos] vpn-target 1:1 import- 
extcommunity 

[Router3-vpn-instance-ddos] quit 

[Router3] interface GigabitEthernet 1/0/2 
[Router3-GigabitEthernetl/0/2] ip binding vpn- 
instance ddos 


[Router3-GigabitEthernetl/0/2] ip address 1.1.1.2 
255.255;255;,0 


[Router3-GigabitEthernet1/0/2] quit 
[sysname-bgp-ddos] peer 10.1.2.1 route-policy 3 import # 在 消 洗 设备 和 有 Router3 之 间 配 十 MPABGP， 
, tn i 使 设备 之 间 可 以 传播 VPNv4 路 由 
[sysname-bgp-ddos] peer 10.1.2.1 advertise-community 
2 [Router3] bgp 200 
[sysname-bgp-ddos] quit 
[Router3-bgp] peer 2.2.2.2 as-number 200 
Dye sgl du [Router3-bgp] 9 -inter 
Se : - eer 2.2.2.2 connect-interface 
在 清洗 设备 的 清洗 口 开 启 流量 统计 功能 pe 
[sysname] interface GigabitEthernet 2/0/1 [Router3-bgp] ipv4-family vpnv4 
re anti-ddos flow-statistic | [Router3-bgp-af-vpnv4] peer 2.2.2.2 enable 
enable 


[sysname-GigabitEthernet2/0/1] quit 


[sysname-route-policy] quit 

[sysname] route-policy 3 deny node 0 
[sysname-route-policy] quit 

[sysname] bgp 200 

[sysname-bgp] ipv4-family vpn-instance ddos 
[sysname-bgp-ddos] import-route unr 
[sysname-bgp-ddos] peer 10.1.2.1 as-number 100 
[sysname-bgp-ddos] peer 10.1.2.1 route-policy 1 export 


[Router3-bgp-af-vpnv4] quit 
A [Router3-bgp] quit 
配置 清洗 设备 的 loopback 地 址 # 将 防护 对 象 IP 地址 通过 BGP 发 布 出 去 


[sysname] interface loopback 1 


[Router3] bgp 200 
[sysname-LoopBackl] ip utdress 2 232 [Router3-bgp] ipv4-family vpn-instance ddos 
shenip pt roa a [Router3-bgp-ddos] network 1.1.1.0 255.255.255.0 
在 清洗 设备 上 配置 MPLS 功能 ， 实 现 回 注 功能 [Router3-bgp-ddos] quit 
# 配置 MPLS 基本 功能 A 、 [Router3-bgp] quit 
[sysname] mpls lsr-id 2.2.2.2 # 配置 静态 路 由 
[sysname] mpls [Router3] ip route-static vpn-instance ddos 
[sysname-mpls] quit 0.0.0.0 0.0.0.0 10.1.6.1 public 
[sysname] mpls ldp # 配置 LSP 的 触发 建立 策略 
[sysname-ldp] quit [Router3] mpls 
[sysname] interface GigabitEthernet 2/0/1.100 [Router3-mpls] lsp-trigger all 
[sysname-GigabitEthernet2/0/1.100] mpls [Router3-mpls] quit 
[sysname-GigabitEthernet2/0/1.100] mpls ldp 配置 OSPF， 通 告 各 接口 所 连 网 段 IP 地 址 和 
[sysname-GigabitEthernet2/0/1.100] quit LSR ID 主机 路 由 


# 配置 接口 绑 定 VPN 实例 [Router3] ospf 1 
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[Sysname] interface GigabitEthernet 2/0/1 
[sysname-GigabitEthernet2/0/1] ip binding vpn-instance 
ddos 


[sysname-GigabitEthernet2/0/1] ip address 10.1.2.2 
255.255.255:0 


[sysname-GigabitEthernet2/0/1] quit 

# 将 接口 GigabitEthernet2/0/1 加 入 安全 区 域 
[sysname] firewall zone trust 

[sysname-zone-trust] add interface GigabitEthernet 2/0/1 
[sysname-zone-trust] quit 

# 在 清洗 设备 和 Router3 之 间 配 置 MP-IBGP， 使 设 
备 之 间 可 以 传播 VPNv4 路 由 

[sysname] bgp 200 

[sysname-bgp] peer 3.3.3.3 as-number 200 
[sysname-bgp] peer 3.3.3.3 connect-interface LoopBack 1 
[sysname-bgp] ipv4-family vpnv4 
[sysname-bgp-af-vpnv4] peer 3.3.3.3 enable 
[sysname-bgp-af-vpnv4] peer 3.3.3.3 route-policy 3 
export 

[sysname-bgp-af-vpnv4] quit 

[sysname-bgp] quit 

# 配置 LSP 的 触发 建立 策略 

[sysname] mpls 

[sysname-mpls] lsp-trigger all 

[sysname-mpls] quit 

配置 OSPF, 通告 各 接 昌 所 连 网 段 人 地址 和 LSR ID 
主机 路 由 

[sysname] ospf 1 

[sysname-ospf-1] area 0 

[sysname-ospf-1-area-0.0.0.0] network 10.1.3.0 0.0.0.255 
[sysname-ospf-1-area-0.0.0.0] network 2.2.2.2 0.0.0.0 
[sysname-ospf-1-area-0.0.0.0] quit 

[sysname-ospf-1] quit 





~ Router1 
配置 Routerl 的 BGP 功能 
[Routerl] bgp 100 

[Routerl-bgp] peer 10.1.2.2 as-number 200 
[Routerl-bgp] quit 

配置 Routerl 的 loopback 地 址 

[Routerl] interface loopback 1 
[Routerl-LoopBackl] ip address $5.5.5.5 32 
[Routerl-LoopBack1l] quit 

配置 MPLS 

# 配置 MPLS 基本 功能 

[Routerl] mpls lsr-id $.5.5.5 

[Routerl] mpls 
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(二 








[Router3-ospf-1] area 0 


[Router3-ospf-1-area-0.0.0.0] network 10.1.5.0 
0.0.0.255 


[Router3-ospf-1-area-0.0.0.0] network 3.3.3.3 


0.0.0.0 
[Router3-ospf-1-area-0.0.0.0] quit 
[Router3-ospf-1] quit 


















配置 Router2 的 loopback 地 址 
[Router2] interface loopback 1 
[Router2-LoopBack1l] ip address 6.6.6.6 32 
[Router2-LoopBackl] quit 

配置 MPLS 

# 配置 MPLS 基本 功能 

[Router2] mpls lsr-id 6.6.6.6 

[Router2] mpls 

[Router2-mpls] quit 

[Router2] mpls ldp 

[Router2-ldp] quit 

[Router2] interface GigabitEthernet 1/0/1 
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( 续 表 ) 
Router1 ， 
[Routerl1-mpls] quit 
[Routerl] mpls ldp 
[Routerl-ldp] quit 
[Routerl] interface GigabitEthernet 1/0/1.100 
[Routerl-GigabitEthernet1/0/1.100] mpls 
[ 
[ 


[aa Gpabitlithernetih 1 /on ] mpls 
[Router2-GigabitEthernetl/0/1] mpls ldp 
[Router2-GigabitEthernet1/0/1] quit 
[Router2] interface GigabitEthernet 1/0/2 
[Router2-GigabitEthernet1/0/2] mpls 
[Router2-GigabitEthernet1/0/2] mpls ldp 
[Router2-GigabitEthernet1/0/2] quit 

配置 OSPF， 通 告 各 接口 所 连 网 段 人 PP 地址 
[Router2] ospf 1 

[Router2-ospf-1] area 0 


[Router2-ospf-1-area-0.0.0.0] network 10.1.5.0 
0.0.0.255 


[Router2-ospf-1-area-0.0.0.0] network 10.1.6.0 
0.0.0.255 


[Router2-ospf-1-area-0.0.0.0] network 6.6.6.6 
0.0.0.0 


[Router2-ospf-1-area-0.0.0.0] quit 
[Router2-ospf-1] quit 

配置 静态 路 由 

[Router2] ip route-static 0.0.0.0 0.0.0.0 10.1.5.1 


Routerl-GigabitEthernet1/0/1.100] mpls ldp 
Routerl-GigabitEthernet1/0/1.100] quit 
[Routerl] interface GigabitEthernet 1/0/3 
[Routerl-GigabitEthernet1/0/3] mpls 
[Routerl-GigabitEthernet1/0/3] mpls ldp 
[Routerl-GigabitEthernet1/0/3] quit 
配置 OSQPF， 通 告 各 接口 所 连 网 段 卫 地 址 和 LSR ID 
主机 路 由 
[Routerl] ospf 1 
[Routerl-ospf-1] area 0 
[Routerl-osp 人 1-area-0.0.0.0] network 10.1.3.0 0.0.0.255 
[Routerl-ospf-1-area-0.0.0.0] network 10.1.5.0 0.0.0.255 
[Routerl-ospf-1-area-0.0.0.0] network $5.5.5.5 0.0.0.0 
[Routerl-ospf-1-area-0.0.0.0] quit 
[Routerl-ospf-1] quit 


前 面 详细 介绍 过 BGP 引流 的 配置 ， 在 ATIC 还 需要 进行 相关 设置 ， 此 处 不 再 蒙 述 。 
由 于 BGP 引流 以 及 MPLS VPN 配置 的 需要 ， 清 洗 设 备 与 Routerl 和 Router3 都 要 建立 
BGP 对 等 体 关 系 ， 各 设备 学 习 到 的 路 由 会 相互 发 布 ， 如 果 控 制 不 好 ， 可 能 会 引起 路 由 环 
路 等 问题 ， 所 以 我 们 需要 做 严格 的 控制 。 

在 清洗 设备 的 配置 中 , 我们 可 以 看 到 配置 了 3 个 策略 控制 内 容 ,， 各 目的 含义 都 不 
相同 。 

[sysname] route-policy 1 permit node 5 

[sysname-route-policy] apply community no-advertise 

[sysname-route-policy] quit i. oo ne 六 

[sysname] bgp 200 ;> 

[sysname-bgp] ipv4-family vpn-instance ddos 

[sysname-bgp-ddos] peer 10.1.2.1 as-number 100 = 

[sysname-bgp-ddos] peer 10.1.2.1 route-policy 1 export 

[sysname-bgp-ddos] peer 10.1.2.1 advertise-community 


配置 这 段 命令 的 作用 是 让 -Routerl 接收 到 清洗 设备 发 布 的 路 由 后 ， 不 再 向 其 他 对 等 
体 发 布 。 比 如 ，Routerl 如 果 还 与 其 他 设备 建立 了 BGP 对 等 体 关系 ， 那 么 它 的 对 等 体 上 
是 看 不 到 清洗 设备 发 布 给 Routerl 的 路 由 的 。 这 是 因为 清洗 设备 发 布 给 Routerl 路 由 只 用 
于 BGP 引流 ， 对 Routerl 以 外 的 设备 毫 无 作用 ， 并 且 一 旦 被 其 他 设备 接收 了 ， 还 有 可 能 
引起 路 由 环 路 等 问题 。 


[sysname] ip ip-prefix ipx index 10 permit 3.3.3.3 2 
[sysname] route-policy 1 deny node 1 
[sysname-route-policy] if-match ip next-hop I pri! ipx 











[sysname-route-policy] quit 
[sysname] bgp 200 
[sysname-bgp] ipv4-family vpn-instance ddos 
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[sysname-bgp-ddos] peer 10.1.2.1 as-number 100 
[sysname-bgp-ddos] peer 10.1.2.1 route-policy 1 export 


这 一 段 配置 的 作用 是 让 清洗 设备 收 到 Router3 发 布 的 防护 对 象 的 路 由 后 ， 不 再 发 布 
给 Routerl。 因为 清洗 设备 已 经 生成 一 条 到 防护 对 象 的 UNR, 并 通过 BGP 发 布 给 Routerl 
作为 引流 使 用 ， 如 果 Routerl 再 接收 清洗 设备 从 Router3 学 习 到 的 到 防护 对 象 的 BGP 路 
四 可 能 对 引流 等 造成 影响 。 
fsysname] route-policy 3 deny node 0 
[sysname-route-policyl]quit 
[sysname] bgp 200 
[sysname-bgp] ipv4-family vpn- -ihstance ddos ， 
， [sysname-bgp-ddos] peer 10.1. 2.1 as-number 100 
~ [sysname-bgp-ddos] peer 10.1.2.1 route-policy 3 import 


此 策略 配置 的 作用 是 让 清洗 设备 不 接收 Routerl 发 布 过 + 来 的 路 由 ， 原因 是 清洗 设备 
只 用 于 流量 引流 并 完成 清洗 ， 最 后 将 清洗 后 的 流量 回 注 回 去 。 从 Routerl 发 布 过 来 的 BGP 
路 由 对 清洗 设备 没有 任何 作用 ， 所 以 在 清洗 设备 上 要 过 滤 掉 这 部 分 路 由 。 

关于 其 他 的 配置 ,部 分 内 容 与 MPLS LSP 回 注 相同 , 且 比 较 容 易 理 解 , 在 此 不 再 多 做 讲解 。 


6.2.2 ”使 用 场景 对 比 





ye 


以 上 为 几 种 主要 的 回 注 方法 相关 配置 及 应 用 的 介绍 。 表 6-12 是 对 这 几 种 方法 在 使 用 
场景 方面 的 一 个 简单 对 比 。 
表 6-12 回 注 方式 对 比 















GREtunnel | 
回 注 


\ 有 | 一 般 用 于 存 | DDoS 清洗 中 
一 个 回 注 口 的 在 多 个 回 注 | 心 跨 AS 运营 | 适用 于 回 注 路 由 器 较 多 的 
口 的 情况 ”| 时 使 用 较 多 | 复杂 网 络 。 要 求 相关 路 由 


使 用 。 一 般 用 当 回 注 路 由 器 较 多 或 网 络 变化 频繁 时 ， 这 器 都 支持 MPLS 或 MPLS 
于 IDC 的 二 层 | 几 个 回 注 配置 工作 量 大 ， 维 护 麻 烦 ;， 不 建 | VPN 功能 
组 网 议 使 用 






仅 限于 回 注 口 
与 防护 对 象 处 
于 同一 网 段 时 






适用 
场景 






在 实际 场景 中 ， 应 该 以 客户 的 实际 需求 和 网 络 部 署 情况 综合 考虑 ， 选 择 较 为 合适 的 
方法 来 完成 流量 的 回 注 。 


6.3 引流 回 注 


前 面 介绍 了 Anti-DDoS 解决 方案 引流 回 注 的 实现 , 但 配置 完成 并 不 能 确保 引流 回 注 
功能 的 可 用 。 本 节 将 通过 对 引流 和 回 注 功 能 的 验证 ， 来 排查 路 由 器 、 检 测 设备 、 清 洗 设 
备 和 ATIC 的 各 项 配置 是 否 正确 。 

在 组 网 中 包括 一 个 外 网 PFC， 一 个 内 网 Web 服务 器 。Anti-DDoS 检测 设备 和 清洗 设 
备 旁 路 部 署 在 组 网 中 ， 对 到 达 防 护 对 象 的 流量 进行 检测 和 清洗 。 我 们 从 外 网 PC 向 内 网 
Web 服务 器 发 送 SYN 报 文 , 通过 对 Anti-DDoS 设备 及 ATIC 进行 配置 , 验证 引流 和 回 注 
功能 配置 的 正确 性 。 
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6.3.1 前 期 准备 


引流 回 注 组 网 示意 图 如 图 6-13 所 示 。 


BE 





upper-layer 上 
network 


Router 1 


内 网 Web 服务 器 


rotected network 


图 6-13 ”引流 回 注 典 型 组 网 示意 


6.3.2 ”测试 思路 


测试 思路 如 下 。 

Q 检测 设备 配置 的 SYN flood 防御 阔 值 为 1， 当 开始 发 送 SYN 报 文 后 ， 流 量 超过 
检测 设备 的 阔 值 ， 触 发 检测 设备 发 送 异 常 告警 给 ATIC。 

@ 配置 Routerl 和 清洗 设备 的 BGP 功能 , ATIC 下 发 至 清洗 设备 的 引流 策略 , 会 通过 BGP 
发 送 给 Routerl 。Routerl 会 将 到 达 Web 服务 器 的 流量 引 向 Anti-DDoS 清洗 设备 进行 引流 清洗 。 

@ Anti-DDoS 接收 到 内 网 的 流量 进行 清洗 后 ， 再 通过 接口 的 策略 路 由 , 把 正常 流量 
回 注 给 路 由 器 ， 路 由 器 通过 策略 路 由 将 报 文 转发 至 交换 机 ， 最 后 到 达 Web 服务 器 。 

@ 反 向 的 流量 不 经 过 Anti-DDoS 设备 ， 而 是 直接 从 路 由 器 发 送出 去 。 


6.3.3 ”测试 步骤 
步骤 1 通过 外 网 PC 可 以 成 功 访问 内 网 Web 服务 器 。 
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步骤 2 将 内 网 Web 服务 器 IP 地 址 加 入 防护 对 象 ， 关 联 Anti-DDos 检测 设备 和 清 
洗 设备 。 

@ 选择 “防御 > 策略 配置 > 防护 对 象 ” 在 “防护 对 象 列表 ”界面 ， 单 击 “创建” 
配置 防护 对 象 的 基本 信息 ， 如 图 6-14 所 示 。 其 中 ,“ 类 型 ” 包括“ 自 定义 ”和 “默认 ” 
| 两 种 。“ 名 称 ” 为 防护 对 象 名 称 ， 作 为 防护 对 象 账号 的 补充 ， 方便 查看 ;“ 描 述 ” 为 描述 
信息 ， 用 于 备注 此 防护 对 象 的 详细 信息 。 





图 6-14 创建 防护 对 象 


@ 在 “创建 防护 对 象 ”界面 ， 单 击 “IP 地 址 ”页 签 ， 单 击 “ 创 建 ”% 配置 自 定义 防 
护 对 象 的 卫 地 址 ， 如 图 6-15 所 示 。 





图 6-15 配置 防护 对 象 IP 地 址 


@) 单 击 “ 设 备 ” 页 签 ， 为 防护 对 象 关 联 Anti-DDoS 设备 ， 选 中 设备 前 的 复 选 框 ， 
单 击 “确定 ” 如 图 6-16 所 示 。 
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i | 防 逢 组 从 本 交 

设备 名 称 Ant-DDos 类 型 | IP 地 址 状态 
”gdos detect 检测 -和 123.106 二 
ddos_clean 清洗 {123.110 [] 
HFR NAL RA 湾 洗 i Wi 全 
HEND. WHO 清洗 + 检测 Hn 量 
|] wm 清 沈 Th © 
Li 清洗 1 政情 筷 1 [° 
WEYD_ WH MR 清洗 1 HR 交 清 【23 


”图 6-16 关联 Anti-DDoS 设备 


@ 单 击 “确定 ” 在 ATIC 完成 创建 防护 对 象 ， 单 击 “ 部 署 ” 将 防护 对 象 配置 直接 
部 署 到 Anti-DDoS 设备 ， 如 图 6-17 所 示 。 


创建 防护 对 象 和 2 xX 
基本 信息 。 IP 地 址 ， 设备。 策略 


食 添 加。 完 删 除 : 
| “| 设备 名 称 。。 | Anti-DDos 类 型 。 IP 地 址 | 状态 防御 组 jypN. 
ddos_detect “检测 1123.106 。 疙 i 未 选择 
YY ddos_clean 清洗 123.110 全 未 选择 


号 可 
图 6-17 部 署 防护 对 象 的 配置 
@@ 在 “防护 对 象 列表 ”界面 ， 确 保 部 署 状 态 显示 为 “部 署 成 功 ”。 
步骤 3 修改 检测 设备 的 SYN flood 防御 阔 值 为 1, 修改 清洗 设备 的 SYN flood 防御 
闷 值 为 1。 
@ 选择 “防御 > 策略 配置 > 防护 对 象 ” 单 击 防护 对 象 对 应 的 蓓 ,将 引流 模式 和 防御 
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模式 修改 为 “自动 执行 ” 如 图 6-18 所 示 。 


ddos_detect 的 防 吊 策略 2 x 
防御 模式 过 滤器 ”位置 策略 。 ”防御 策略 


防护 而 宽 (Mbps} ‘1000 “tt10240) 入 流量 超 规 格 启 动 限 流 鲁 
过 小 吉 和 齐 肖 值 (pps} 100 * (1-80000000}) 区 2 
引流 模式 . * 自动 执行 “手动 确认 多 
防御 模式 * 自动 执行 “手动 确认 @ 
动态 辕 名 单 模式 自动 (和 关闭 人 @ 
单 中 的 |P 限 流 开启 区 光 擅 (tibps} | 100 "(4.10240) 稼 
恶意 流量 过 滤 DoS 攻 击 工具 多 
,IP 售 洽 开启 和 质 黎 请 乱 fpp9j .2000 “80000000) 人 .全 
新 建 会 话 限 带 开启 县 更 滑 人 6 护 江 /49) | 30000 TT-400000)7 ®@ 
确定 关闭 


图 6-18 ”防御 模式 的 配置 


引流 模式 的 “自动 执行 ”是 指 检测 设备 检测 到 流量 异常 后 上 报 给 ATIIC，ATIC 自动 生 
成 引流 任务 并 自动 下 发 引流 任务 到 清洗 设备 。 防 御 模 式 的 “自动 执行 "是 指 清洗 设备 检 
测 到 流量 异常 后 ， 生 成 异常 事件 并 自动 启用 防御 系统 。 

@ 在 “防御 策略 ”页 签 中 ， 单 击 “ 操 作 ” 列 的 网 ， 选 择 “TCP” 页 签 ， 修 改 检测 设备 
的 SYN flood 防御 阔 值 为 1， 修改 清洗 设备 的 SYN flood 防御 阔 值 为 1， 如 图 6-19 所 示 。 


配置 防 仓 第 咯 A ?x 





4TCP UDP ICMP -Other DNS SP HTIP HTTPS Top N 学 习 首 包 检 查 i 


a 


组 断 
限 沪 


”防御 
一 TCP 异常 报 文 防御 


”TCP 基本 肪 种 
SYN Flood 防 徊 
认证 模式 efrof-SeqG * right-seq 


源 IP SYN 报 文 比例 异常 限 速 


导入 策略 模板 导出 策 路 模板 确定 到 消 


图 6-19 ”SYN flood 防御 阐 值 的 配置 
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@) 如 果 部 署 状态 变化 为 “部 分 部 署 ”” 则 需要 重新 部 署 。 

步骤 4 为 了 避免 测试 不 产生 任何 效果 , 需要 选择 “防御 > 策略 配置 > 防护 对 象 ”， 
单 击 防护 对 象 对 应 的 合 ， 修 改 “ 提 示 ” 动 作为 “启动 引流 ”允许 小 流量 触发 告警 ， 如 
图 6-20 所 示 。 





ddos_detect 的 告警 策略 ?Xx 
防护 对 象 : ddos_detect ”防护 带宽 : 1000 (Mbps) 
紧急 重要 
mr 入 流量 >=| 500 * Mbps < 入 流量 >=| 50 * Mbps 
A 入 流量 >=| 200000 “pps Vv 入 流量 >= 20000 pps 
本 并 发 连接 数 >= | 10000 并 发 连接 数 >= | 5000 | 
| 
2 新 建 连 接 数 >= | 500 “ 酌 Z 新 建 连 接 数 >= | 300 :由 
了 异常 攻击 持续 时 间 >= | 1800 * 秒 加 异常 /攻击 持续 时 间 >= | 600 * 秒 
动作 : | 启动 3 流 动作 启动 3 撤 
次 要 提示 
四 入 流量 >= 5 |* Mbps A 入 流量 >= 1 * Mbps | 
~ 入 流量 >=| 2000 “pps > 入 流量 >= 1 “pps 
A 并 发 连接 数 >= 1000 Z 并 发 连接 数 >=- 1 
了 新 建 连 接 数 >= | 100 * 月 A 新 建 连接 数 >= 1 “ 肛 
异常/ 攻击 持续 时 间 >= | 360 | 动 | 异常 攻击 持续 时 间 >= | 1 * 秒 | | 





启动 3 流 


确定 取消 


图 6-20 ”告警 策略 的 配置 


需要 注意 的 是 ， 为 避免 产生 过 多 的 告警 ， 测 试 结 束 后 需要 将 本 步骤 修改 回来 。 
步骤 5 单 击 键盘 F5 按键 ， 通 过 外 网 PC 持续 访问 Web 服务 器 。 


6.3.4 ”期 望 的 测试 结果 


步骤 1 ATIC 发 现 防护 对 象 状态 异常 ， 点 击 进去 后 可 以 看 到 检测 设备 异常 ， 如 图 6-21 
和 图 6-22 所 示 。 

步骤 2 单 击 键盘 F5 按键 ， 持 续 发 送 SYN 报 文 。 

步骤 3 选择 “报表 > 专项 报表 > 流量 分 析 ” 选择 “流量 对 比 ” 页 签 ， 从 下 拉 列 
表 中 选择 检测 设备 或 清洗 设备 ， 分 别 查看 相对 应 的 报表 。 

通过 “流量 对 比 ”， 可 以 了 解 在 一 定时 间 间 隔 内 ， 指 定 设 备 的 流量 转发 情况 ， 如 果 
选择 的 设备 为 清洗 设备 ， 则 报表 展示 入 流量 、 出 流量 、 攻 击 流量 和 反弹 流量 信息 ; 如 果 
选择 的 设备 为 检测 设备 ， 则 报表 展示 检测 流量 信息 。 我 们 在 检测 设备 和 清洗 设备 的 报表 
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中 都 可 以 看 到 流量 。 


防护 对 象 | 类型 设备 名 称 服务 字 习 状态 基线 学 习 状 态 异常 杖 态 防 得 状态 
ddos_detect 壬 定义 ddos. detect 来 学 习 学 习 中 [a% | 自动 防 部 
ddos clean 向 定义 ddos_clean 未 学 习 学 悦 中 正 党 
eg 生 定 义 X 仿 来 学 习 学 习 中 下 党 去 
A 自 症 义 未 学 习 未 一 
OD jt I 自 定 义 HM i ID 来 学 习 季 习 中 正 党 一 
HCL CE 自 定 义 HARD 人、 未 学 习 未 学 习 正 党 过 
0 寥 十 义 HH 学习 学 习 中 正常 ~ 


图 6-21 异常 状态 的 显示 





ddos_detect 的 异常 事件 
异常 事件 。 动态 黑 名 单 


异常 事件 列表 


党 Y100R001 设 备 上 报 的 疝 仙 和 入 流量 昧 仿 坟 为 区 CPUGH 结 浊 


站 的 他 第 下 设备 名 称 ; 全 部 ~ 防 逢 羽 坊 ， 全 部 
IP 地 址 。 “| 设备 名 称 Anti-DDos 类 型 。 ”异常 开始 时 间 “攻击 类 型 说 什 入 流量 插值 | 攻击 流量 ( KB ) 。 异常 状态 
Ws ddos detect 检 闹 2017-07-060. Be Berd tpps tpps 0 Ein 
和 总 共 1 一 三 4 


图 6-22 异常 事件 的 详情 


6.4 策略 配置 


6.4.1 防护 对 象 


在 介绍 配置 之 前 ， 我 们 先 认 识 一 个 重要 的 名 词 一 一 防护 对 象 。 
Anti-DDoS 设备 是 基于 目的 了 P 地 址 进行 防护 的 。 也 就 是 说 ，Anti-DDoS 设备 对 到 达 


140 华为 Anti-DDoS 技术 漫谈 


受 保护 客户 卫 方向 的 流量 进行 检测 和 清洗 。 我 们 通常 把 这 个 目的 IP 地 址 加 入 到 一 个 
Zone， 也 就 是 “防护 对 象 ” 中 ， 如 图 6-23 所 示 。 





snesee 


图 6-23 ”防护 对 象 


防护 对 象 里 的 IP 地 址 都 是 需要 保护 的 IP 地 址 的 集合 ， 它 可 以 是 一 个 单独 的 全 ， 也 
可 以 是 多 个 下， 还 可 以 是 一 些 瑟 段 。 当 前 版 本 的 Anti-DDoS 设备 支持 配置 2000 个 防护 
对 象 ， 支 持 同 时 对 20 万 个 IP 地 址 的 流量 进行 精细 化 的 防护 。 

这 个 “防护 对 象 ”非常 重要 ， 所 有 的 精细 化 防御 策略 基本 都 是 基于 防护 对 象 进 行 配 
置 的， 所 以 大 家 一 定 要 理解 并 记 住 它 。 


6.4.2 ”服务 


基于 防护 对 象 的 防御 策略 的 粒度 是 基于 IP 地 址 的 , 也 就 是 说 , 一 套 防御 策略 对 应 一 
个 防护 对 象 。 但 是 在 某 些 场景 中 ， 防 护 对 象 可 能 需要 更 加 精细 化 的 防御 策略 。 比 如 ， 我 
有 一 台 服 务 器 ， 这 台 服 务 器 只 有 一 个 IP 地 址 ,但 是 它 不 同 的 端口 处 理 着 不 同 的 业务 。 如 
果 只 是 针对 服务 器 的 他 地 址 配置 一 套 防 御 策 略 , 那么 不 同 的 业务 模型 下 都 使 用 同一 套 防 
御 策 略 ， 显 然 是 不 合理 的 。 所 以 就 需要 一 种 在 防护 对 象 基 础 上 更 精细 的 策略 ， 这 就 是 防 
护 对 象 的 “服务 ”， 如 图 6-24 所 示 。 


-一 一般 务 从 ”服务 B 服务 C 





图 6-24 服务 和 防护 对 象 的 关系 





服务 是 “目的 他 地 址 + 端口 号 ”的 集合 ， 通 过 不 同 的 端口 号 ， 区 分 不 同 的 业务 。 
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6.4.3 ”命令 行 配置 与 ATIC 配置 


华为 的 Anti-DDoS 系统 的 防御 策略 是 非常 多 样 和 精细 化 的 ， 支 持 ATIC 配置 和 命令 
行 配置 两 种 方式 。 大 部 分 命令 行 支持 的 配置 ， 在 ATIC 都 有 对 应 的 Web 界面 。 两 者 定位 
不 同 , 命令 行 支持 的 配置 是 个 全 集 ，ATIC 支持 的 配置 是 部 分 基础 的 配置 ， 而 高 级 一 点 的 
防御 策略 ， 则 只 支持 命令 行 配置 ， 因 此 ， 就 只 能 在 Anti-DDoS 设备 上 用 命令 行 配置 。 一 
般 都 是 有 经 验 的 运 维 工程 师 或 资深 管理 员 根 据 现 网 运 维 经 验 和 实际 网 络 情况 对 其 进行 调 
整 ， 不 建议 普通 管理 员 对 其 轻易 开启 。 

在 现 网 配置 过 程 中 , 如 果 是 ATIC 支持 的 防御 策略 , 则 一 定 要 由 ATIC 配置 并 下 发 到 
Anti-DDoS 设备 ， 而 不 要 直接 在 Anti-DDoS 设备 上 直接 用 命令 行 配置 ， 否 则 可 能 会 导致 
配置 的 冲突 。 


6.4.4 ”防御 [策略 的 配置 


防御 策略 配置 原则 : 为 每 一 种 可 能 的 DDoS 攻击 配置 防御 策略 ， 避 免 业 务 被 任何 一 
种 DDoS 攻击 影响 。 

DDoS 攻击 主要 是 占用 网 络 带宽 或 者 服务 器 资源 ， 使 服务 器 无 法 对 外 提供 服务 。 

例如 ， 对 于 一 个 Web 网 站 ， 玫 击 者 可 以 使 用 UDP flood 拥塞 网 络 ， 导 致 正常 用 户 因 
为 没有 带宽 而 无 法 访问 网 站 ; 攻击 者 也 可 以 使 用 HTTP flood 攻击 网 站 ， 使 服务 器 资源 耗 
尽 ， 导 致 正常 用 户 无 法 访问 网 站 。 因 此 , 一 个 IP 地 址 可 能 会 遭受 到 各 种 类 型 的 DDoS 攻 
击 ， 它 并 不 会 因为 服务 器 是 Web 服务 器 而 仅 遭 到 HTTP 类 的 攻击 。 

因此 ， 我 们 需要 配置 多 种 防御 策略 ， 防 御 任 何 可 能 遇 到 的 DDoS 攻击 。 

防御 策略 实质 是 针对 各 种 协议 类 型 的 流量 大 小 设置 一 个 合理 的 阔 值 ， 作 为 正常 流量 
的 上 限 ， 当 网 络 中 的 实际 流量 大 小 超过 设置 的 阐 值 时 ， 我 们 就 会 认为 流量 发 生 异常 ， 触 
发 相应 的 防御 功能 。 

在 配置 防御 策略 前 ， 管 理 员 经 常会 面临 两 个 疑问 ; 

Q 开启 哪些 类 型 的 防御 功能 ? 

@ 防御 阔 值 应 该 设置 为 多 少 才 合理 ? 

接 下 来 ， 我 们 就 以 上 疑问 来 进行 解答 。 

Anti-DDoS 系统 最 常用 的 场景 就 是 保护 各 种 服务 器 ,这 些 服务 器 有 的 是 DNS 服务 器 ， 
有 的 是 Web 服务 。 服 务 器 不 同 ， 业 务 模型 也 不 同 ， 因 此 配置 的 防御 策略 就 不 同 。 

下 面 我 们 就 从 几 种 主流 服务 器 的 类 型 ， 说 明 防 御 策略 的 配置 重点 。 

1. 通用 服务 器 

当 不 能 确定 服务 器 服务 类 型 时 ， 可 以 采用 通用 策略 模板 ， 配 置 防御 策略 。 

@ 配置 TCP 通用 防御 策略 .防御 阔 值 可 以 根据 基线 学 习 的 结果 进行 调整 , 如 图 6-25 
所 示 。 

ACK Flood 防御 : 严格 模式 的 防御 效果 优 于 宽松 模式 的 效果 。 

。 在 直路 部 署 时 ， 推 荐 使 用 严格 模式 ， 因 为 业务 不 会 有 中 断 ， 防 御 效果 也 要 好 于 帘 
松 模 式 的 效果 。 

。 在 旁 路 部 署 时 ， 建 议 使 用 宽松 模式 ， 因 为 如 果 使 用 严格 模式 ， 根 据 严格 模式 防御 
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原理 ， 业 务 被 引流 后 ，ACK 报 文中 的 会 话 必须 是 由 SYN 或 SYN-ACK 建立 ， 否 则 报 文 
会 被 丢弃 ， 会 话 需要 重建 后 业务 才 会 正常 。 








YTCP UDP ICMP other DNS HTTP Top N 学 习 ”” 首 包 检 查 
防 秀 
了 TCP 异 常 报 文 防御 le 多 
凶 这 这 淫 信 (pps) - | 1000 * {1-80000000} 
YY TCP 基 本 防御 
ww SYN Flood 防 币 
认证 楼 式 error-seq right-seq 
Es | 2000 |* (1-80000000) 
J 尘 P SYN 报 文 比例 异常 限 束 | 
SYN-Ratio 比 酌 较 值 (%): (50 |* (0-100) 
检查 周明 ( 翅 ) 15 (0.600) 
SYNIR 文 个 数 限 束 漳 值 (个 ): 200 (0.80000000) 
限 这 局 其 (未): [1 | (1-600) 
ACK Flood 防御 
他 计 这 六 信 (pps) | 20000 _ “0-80000000) 
J TCP 分 片 攻击 防御 ~ ee 
包 这 率 肖 值 fpps) | 2000 es 1* (1-80000000) 
~ FIN/RST Flood 防御 ee 本 
包 束 这 议和 值 (pps) - [so | (1-80000000) 
7 TCP 过 党 桥 尽 攻 击 防 和 | 
目的 |P 地 址 并 发 连接 数 检查 SR 
Loom 
200 
500 Ss 
10 5) 
1 (240) 
(255) 
a 
(20 0023) 
“Sockstress 
TCP 窗 口 大 小 调 值 字 节 ) |10 | “(H65539) 











导入 策略 模板 导出 策略 模板 确定 取消 


图 6-25 TCP 通用 防御 策略 的 配置 
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在 攻击 时 ， 图 6-25 中 的 配置 仅 能 告警 ， 只 有 开启 动态 黑 名 单 功能 才能 进行 清洗 ， 建 
议 在 应 急 的 时 候 再 开启 动态 黑 名 单 功能 ， 开 启 方法 如 图 6-26 所 示 。 


LF 默认 防护 对 象 的 防御 第 略 i 
防御 模式 ”过 滤器 ”位置 策略 防御 策略 





防护 带宽 (Mbps) 1000 |*{f-2000000) 入 流量 超 规 格 启动 限 流 @ 
过 湾 器 丢弃 这 村 (pps): 100 * (1-80000000) @ 
引流 模式 多 自动 执行 “ “手动 确认 @ 
防 逢 模式 “生动 执行 “手动 确 兴 @ 
动 杰 黑 名 单 模式 ; 关闭 @ 
单身 的 IP 限 流 : 开启 这 Mbps}: | 100 登 
人 P 信 誉 开局 000 ER ee 
新 建 会 话 限 速 : 开启 敬 30000 @ 
秒 级 黑 注 开启 100 登 
恶意 流量 过 济 DoS 攻 击 工具 图 


确定 。 关闭 


图 6-26 ”开启 动态 黑 名 单 
@ 配置 UDP 通用 防御 策略 ， 如 图 6-27 所 示 。 





配置 防御 策略 = SS 上 XxX 
4TCP UDP ~ICMP Other DNS SIP “HTTP HTIPS TopN 学 习 首 包 检查 > 
了 组 类 
7 限 流 
v| UDP 限 流 
项 训 衣 给 (Mbps) : ,so0 “(1-2000000) 
中 UDP 分 片 限 流 
带宽 装 值 (Mbps) : 50 四 (2000000) 
UDP 新 建 会 话 限 速 
只 速 溪 征 (应 流 数 记 池 10000 {1.400090}) 


导入 策略 模板 导出 策略 模板 确定 取消 


6-27 UDP 通用 防御 策略 的 配置 
@) 配置 ICMP 通用 防御 策略 ， 如 图 6-28 所 示 。 
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配置 防 鲫 策略 PX 
iTCP UDP ICMP Cther DNS SP HTTIP HTIPS -TopN 学 习 首 包 检查 上 
中 由 
w 限 流 
ICMP 限 流 
包 汗 率 调 信 fpps) S00 “(1-2000000) 
ICMP 新 建 会 话 限 速 
导入 策略 模板 导出 策略 模板 确定 取消 
图 6-28 ICMP 通用 防御 策略 的 配置 
@ 配置 Other 协议 通用 防御 策略 ， 如 图 6-29 所 示 。 
配置 防 印 策 咯 2 Xx 
a4TCP UDP ICMP other DNS SiP ‘HTTP HTTPS -TopN 学 习 广 首 包 检 查 法 
中 断 
恨 流 
~ 芒 部 
这 完 洽 值 (Mbps) Et * {1-2000000}) 


导入 策略 机 板 导出 策略 模板 确定 台 消 
图 6-29 Other 协议 通用 防御 策略 的 配置 


。 如 果 可 以 确认 访问 被 保护 的 网 络 流量 只 有 TCP、UDP、ICMP 业务 , 不 包含 IPSec、 
GRE、IGMP 等 其 他 IP， 建 议 开 启 限 流 ， 防 御 效 果 会 更 好 。 

。 如 果 存 在 IPSec、GRE、IGMP 等 其 他 外 ， 则 不 能 开启 限 流 ， 否 则 会 影响 正常 业务 。 

@ 配置 DNS 协议 通用 防御 策略 ， 如 图 6-30 所 示 。 

@@) 配置 HTTP 通用 防御 策略 ， 如 图 6-31 所 示 。 

多 数 用 户 的 浏览 器 和 App 都 有 完整 的 HTTP 栈 ， 因 此 可 以 顺利 通过 “302 重 定向 ”。 
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当 流 量 超过 阔 值 触发 防御 后 ， 用 户 感知 不 到 认证 过 程 ， 业 务 访 问 不 会 受到 任何 影响 ;但 
少数 的 App 和 程序 可 能 使 用 不 完整 的 HTTP 栈 ， 无 法 通过 HTTP“302 重 定向 ”的 认证 ， 
导致 业务 受到 影响 ， 这 个 时 候 就 需要 关闭 HTTP 源 认 证 防御 ， 避 免 影响 业务 。 


配置 防御 策 路 
4TCP UDP ICMP Other DNS SP HITP HTIPS TopN 学 习 首 包 检查 
性 防 季 


”组 存 服务 器 特有 志 置 项 
YY DNS Request Flood 防 钢 


防御 模 起 % 被动 “TCP 认 证 六 
包 束 率 漳 值 (pps} 2000 * (4-80000000} 


摸 权 服 务 器 特有 卫 答 大 ee 





外 济 信 (pps) 2000 * (1-80000000) 


包 速 认 鹿 入 (pps} 100 "(1-80000009) 





导入 策略 模板 导出 策略 模板 确定 取消 


图 6-30 DNS 协议 通用 防御 策略 的 配置 





| 
| 配置 防御 第 略 2 


| TCP UDP ICMP Other DNS SIP HTTP HTTPS Top N33 兽 匆 检查 
| 以 g 
HTTPi 


8000 (180000000) 


| 
| 
| 
| 
| 
| , 
| 4000 * (1-80000000) 
| 

l 





Syn 报 文 限 过 198 ” {760096036 @ 
导入 策 咯 模板 导出 策略 模板 兢 定 取 洋 


图 6-31 HTTP 通用 防御 策略 的 配置 
@ 配置 HTTPS 协议 通用 防御 策略 ， 如 图 6-32 所 示 。 
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配置 防御 策略 


#4 TCP UDP ICMP Other DNS 





2 Xx 
SiP HTTP | HTTPS Top N 学 习 首 包 检查 [os 
J 防 部 
必 “HTTPS 源 认证 防 令 
基于 目的 IP 统 计 
包 速 地 所 值 (pps) 2600 “ {1-80000000} 
基于 源 扩 统计 
sSL 有 防御 名 
时 协 壮 玖 六 
玖 诊 深 检 
导入 策略 模板 导出 策略 模板 确定 取消 
图 6-32 ”HTTPS 协议 通用 防御 策略 的 配置 


@ 配置 过 滤器 : 对 于 不 提供 服务 的 端口 ， 请 管理 员 通 过 配置 过 滤器 进行 阻 断 ， 否 
则 将 会 影响 防御 效果 。 


单 击 “ 过 滤器 ”页 签 ， 单 击 “@ 关 衣 过 省 品 ， 选 中 ATIC 缺 省 提供 的 全 部 常用 的 过 滤器 
模板 ， 单 击 “ 确 定 ”。 
2. DNS 缓存 服务 器 


流量 特点 : DNS 缓存 服务 器 主要 承载 DNS 业务 ，DNS 业务 以 端口 号 为 53 和 5060 
UDP 报 文 为 主 ， 由 于 其 他 端口 的 UDP 业务 和 TCP 业务 报 文 较 少 ， 其 他 类 型 的 报 文 也 
民 少 ， 


因此 精细 化 防御 以 DNS 防御 策略 为 主 。 
Q@ TCP 防御 : TCP 业务 较 少 ， 配 置 以 限 速 为 主 ， 如 图 6-33 所 示 。 
: 配置 防 贸 策 略 


4TCP UDP ICMP QOther DNS SiP 


Fx 
HTTP ”HTIPS “TopN 学 习 ” 首 包 检查 g 
5 

7 天 放 

TCP 限 流 
芝 完 泣 什 (Mbps) 外 ” (1-10240) 
0 TCPAH 妥 盖 一 一 一 
带宽 六 (Mbps) 15 (tt20) 
TCP 新 建 会 话 下 过 
i 0000 
防御 
导入 策略 模板 导 测 策 由 模板。 确定 取消 


图 6-33 ”TCP 防御 策略 的 配置 
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@ UDP 防御 : 通常 DNS 服务 器 上 除了 53 和 $060 以 外 的 其 他 端口 的 UDP 业务 比 
较 少 ，UDP 限 速 正 是 针对 除 53 和 5060 以 外 的 其 他 端口 UDP 进行 的 限 速 ， 所 以 限 速 功 
能 可 开启 ， 如 图 6-34 所 示 。 
配置 防 全 策略 


4TCP UDP ICMP other DNS Sip HTIP HTIPS 





Top N 学 习 首 包 检查 ， 


| 了 其 
”A 限 流 
党 UDP 限 流 
这 痪 阅 值 ( Mbit/s) lo ae 一 
UDP 分 片 限 流 
带宽 刻 笨 ( 60 *{4-2000000} 
UDP 新 建 会 话 限 束 
绰 速 疡 值 ( 连 撤 人 A) 10000 (1-400000) 
防 贸 
导入 策 赂 模板 。 导出 策 骆 模板 。 ”确定 。。 取消 


图 6-34 UDP 防御 策略 的 配置 


@) ICMP 防御 : 正常 情况 下 ， 现 网 中 只 有 少量 的 Ping 报 文 ， 所 以 ICMP 的 限 速 阔 值 
可 以 配置 得 小 一 点 ， 如 图 6-35 所 示 。 


配置 防 倒 策 略 a 3% 
UTCP UDP “CMP” Other DNS slP HTTP HTTPS TopN 学 习 ” 首 包 术 询 » 
组 断 
本 限 阁 
了 ICMP 限 流 
~ 包 过 这 袜 值 (pps) 500 “{1-2000000) 


导入 策略 模板 导出 策 赂 模板 确定 取消 


图 6-35”ICMP 防御 策略 的 配置 
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则 Other 报 文 的 防御 策略 以 限 流 为 主 ， 如 图 6-36 所 示 。 


配置 防 钙 策略 
4TCP UDP ICMP other DNS SiP HTTP HTTPS “TopN 学 习 首 包 检查 


带 哆 泣 信 (Mbps} ls (2000000) 


导入 第 本 恒 板 导出 策 路 模 扳 。 。 确定 取消 


图 6-36 ”Other 防御 策略 的 配置 


@ DNS 防御 : 针对 DNS 服务 器 的 类 型 配置 精细 化 的 防御 策略 ， 如 图 6-37 所 示 。 


配置 防 食 策略 ; 
*TCP UDP ICMP Qther DNS SIP “HTIP HIPS TopN 学 习 首 包 检查 





将 防御 
” 垦 仓 服务 器 符 有 配置 项 
DNS Request Flood 防 御 


防御 模式 ?| 被 动 “TCP 认 证 © 
名 计 过 安信 (pps) 2000 一 “(1-80000000) 
授权 服务 器 竺 有 配置 项 
DNS Request Flcod 护 鸭 
ER 全 
2000 
号 
2000 |“(-80000000) 
10 
Pt 
100 (180000000) 
512 





导入 策略 模板 导出 策略 模板 确定 取消 


图 6-37 DNS 防御 策略 的 配置 
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@) HTTP 源 认 证 防御 ; 如 图 6-38 所 示 。 

多 数 用 户 的 浏览 器 和 App 都 有 完整 的 HTTP， 因 此 可 以 顺利 通过 “302 重 定向 ” 认 
证 ， 当 流量 超过 阔 值 触发 防御 后 ， 用 户 感知 不 到 认证 过 程 ， 业 务 访 问 不 会 受 任何 影响 。 
但 个 别 的 App 和 程序 可 能 使 用 不 完整 的 HTTP， 无 法 通过 HTTP“302 重 定 向 ”的 认证 ， 








| 配置 防御 策略 ?x 
14 TCP UDP iCMP Other DNS SP HTTP HTTPS Top N 学 习 兽 包 检查 
2 pm 六 
| = 
| HTTP 防 逢 
基于 目的 IP 弦 计 | 
包 束 率 渐 值 fpps) 8000 * (1-89000000) 
请 求 速率 二 秆 (qps}) 4000 “(1-89000000) 
等于 源 IP 统 计 
玉带 帮 汪 入 和 
妈 HTTP 关 大 证 防 烙 ， 
| 纺 件 机 式  、 * 302 重 定向 “验证 码 “> cookie 拓 认证 “，JavaScrip 转 定向 | 
淹 认 证 终止 条 御 2 
: v 
syn 报 文职 连 00 多 Ea 
导入 第 咯 模 板 。。 导出 征 赂 模板 。 。 确定 取消 
图 6-38 HTTP 防御 策略 的 配置 
I» 7 = 
@ HTTPS 源 认 证 防御 ， 如 图 6-39 所 示 。 
配 本 防 名 车 ?x 
#4TCP UDP ICMP Other DNS SiP HTIP HTTPS -TopN 学 习 首 包 检查 本 
Y 防御 
”HTTPS 源 认证 防御 
基于 目的 IP 统 计 i | 
包 速 率 阔 值 (pps} 2000 * (1-80000000) 
基于 潭 IP 统计 
SS 防御 全 


图 6-39 HTTPS 防御 策略 的 配置 
过 滤器 配置 除 上 述 防御 策略 以 外 ， 对 于 不 提供 服务 的 端口 ， 我 们 可 以 通过 配 
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置 过 滤器 对 其 进行 阻 断 。 

我 们 单 击 “ 关 联 过 滤器 ” 选中 ATIC 缺 省 提供 的 除 “DNS_Amplification” 外 的 所 有 
过 滤器 模板 ， 单 击 “ 确 定 ”。 

3. DNS 授权 服务 器 

流量 特点 : DNS 授权 服务 器 主要 承载 的 是 DNS 业务 ，DNS 业务 主要 以 端口 号 为 53 
和 5060 的 UDP 报 文 为 主 。 | 

GO TCP 防御 策略 配置 ， 如 图 6-40 所 示 。 


配置 防 鲫 策 赂 有 其 
aTCP UDP iCMP other， DNS SIP HTTP HTTPS TopN 学 习 首 包 检查 » 
局 有 -次 
TCP 避 举报 文 防御 ， 
包 速 率 北 舍 (pps) 1000 * (1-80000000)} 2 
允 _TCP 基 本 防御 | 
~ SYN Flood 防 条 
认证 模式 emotc-seq * right-seq 
包 连 率 宰 值 (pps) 2000 * (1-80000000) 
YY， 湖 P SYN 报 文 比例 异常 限 速 证 ee 
SYN-Ratotb 什 (%) A * (0-100) 
检查 局 其 (入) 5 * (1.600) 
SYN 报 文 个 娄 限 渤 洒 入 (个) 20 ” ”| (0-80000000) 
限 违 周 时 ( 秒 ) 所 “tt-600} 
六 ACK Fiood 防 物 家 
包 瀛 率 国 什 (pps) 20000 “(1-80000080} 
TCP 分 片 攻击 防御 加 
包 速 率 源 伟 {pps) i2000 “(1-80000000) 
FINIRST Fiood 防 逢 
包 沁 率 视 值 (pps) | 500 ‘= (1-80000000) 





5000 {1-80000000) 
1000 (1-t0000000) 
200 * (4.80000000) 
5 
500 * (4-89000000 
| (20 (255) 
检 覃 局 其 夫 :一 全 240) 
了 ERI 查 
往生 近 最 小 报 数 日 (255) 
ea om 
卫生 全 可 
本 8 投 文 记 仁 2 (1-1023) 
中 Sockstress 
TCP 窗 口 大 小 说 值 ( 字 节 ) (10 (165535) 


导入 策 赔 模板 导出 策略 模板 确定 观 消 


6-40 ”TCP 防御 策略 的 配置 
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@ UDP 防御 : DNS 服务 器 上 除了 53 和 5060 的 UDP 报 文 以 外 ， 其 他 端口 UDP 业 


务 比较 少 。 UDP 限 速 正 是 针对 除 53 和 5060 的 UDP 报 文 以 外 的 其 他 端口 UDP 业务 进行 
的 限 速 ， 如 图 6-41 所 示 。 


4TCP UDP ICMP Other 


?% 
DNS Sip HTTIP HTTPS “TopN 学 习 首 包 检查 . 
】 阳 断 
好 限 流 
i UDP 限 流 
贡 况 记 值 ( Mbit's) [m0 (F000000) -一 一 一 - 
1 UDP 分 片 限 流 | 
术 史 讽 信 (Mbit/s): 0 (1-2000000 
| UDP 新 建 会 话 限 速 
殉 这 请 伟 (你 接 数 /多 ) 10000 {1-400000) 
防御 


导入 策 赂 模板 导出 第 赂 模板 确定 取消 


图 6-41 UDP 防御 策略 的 配置 


@ ICMP 防御 : 正常 情况 下 现 网 中 只 有 少量 的 Ping 报 文 ， 所 以 ICMP 的 限 速 阔 值 可 
以 配置 得 小 一 点 ， 如 图 6-42 所 示 。 


配置 防 倒 策 赂 有 闪 
TCP UDP IcMP Other DNS SP HTTP HTTPS 一 Top N 学 习 ” 首 包 检查 » 
组 断 
w 限 流 
总 CMP 限 流 
的 康 率 济 信 (pps} S00 {1-2000000) 
ICMP 新 建 会 话 限 速 
eT 10000 . 


导入 策略 模板 导出 第 略 模 板 确定 观 消 


图 6-42”ICMP 防御 策略 的 配置 
由 Other 报 文 的 防御 以 限 流 为 主 ， 如 图 6-43 所 示 。 
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配置 防 倒 策 略 ?x 


*TCP UDP iCMP “Other DNS SIP HTFIFP HTTPS TopN 学 习 首 包 检查 





EE 
| 嚼 汤 
[ 邮 限 流 
BY Other 限 流 
芝 帘 遍 值 (Mbps) "(1-2000000) 
Other 新 建 会 活 限 速 
陨 速 疡 值 ( 话 接 数 / 秒 ) 10000 {1-400000} 
]】 防御 


导入 策略 模板 导出 策略 模板 确定 取消 


图 6-43 ”Other 防御 策略 的 配置 


@ DNS 防御 : 我 们 根据 DNS 授权 服务 器 的 类 型 ， 配 置 不 同 的 精细 化 防御 策略 ， 如 
图 6-44 所 示 。 














J 浏 8 流 
耽 二 疯 值 (pps) ; Lo rzo00000) 
| DNS reply 限 之 
这 汪汪 从 (pps} 2008 A | 
二 扩 徊 加 
要 硕 | 
DNS Request Flood 彻 
唉 物 嵌 芝 1 人 
2000 
PA 
DNS Request Flood 防御 
防御 二 趟 全 CNAME “被 动 @ 
名 束 丧生 pps) 2000 人 
DNS Reply Flood 防御 
多 关头 博信 1pps) 2000 
NXDomain 清 求 HH 信 注 全 刘 人 
呈报 文 合法 性 检查 = 
| 500 |“(4-80000000) 
542 
512 





导入 征 下 模板 导出 策 赔 模板 确定 取消 


图 6-44 DNS 防御 策略 的 配置 
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@ HTTP 源 认证 防御 ， 如 图 6-45 所 示 。 多 数 用 户 的 浏览 器 和 App 都 有 完整 的 HITP， 
因此 可 以 顺利 通过 “302 重 定向 ”认证 ， 当 流量 超过 阔 值 触发 防御 后 ， 用 户 感知 不 到 认 
证 过 程 ， 业 务 访问 没有 任何 影响 。 但 个 别 的 App 和 程序 可 能 使 用 不 完整 的 HTTP， 无 法 
通过 HTTP“302 重 定向 ”的 认证 ， 导 致 业务 受到 影响 ， 这 个 时 候 我 们 就 需要 关闭 HTTP 
源 认证 防御 ， 避 免 影 响 业 务 。 














配置 防御 第 路 3 X 
4TCP UDP ICMP Other DNS SP HTTP HTTPS TopN 学 习 前 包 检查 
防 钊 
lm 
4000 
| 6 
0 
HTTP 源 兴 证 防 烙 
防 痢 模式 3 302 重 定向 “， 验证 码 “”¢ookie 源 认证 “ JavaScnpt 重 定向 ， 
这 罗 槐 入 福 标 题 没 访 : 全 | 
| @ 1] 
要 | 
| 30 
| 100 二 
| 
| 
导入 策略 模板 。 导出 第 略 模 板 。。 确定 ，| 取消 
| 图 6-45 ”HTTP 防御 策略 的 配置 
@ HTTPS 源 认证 防御 ; 如 图 6-46 所 示 。 
配置 防御 策略 l FX 
a4TCP UDP ICMP Other DNS SP HTTP : HITPS Top N 学 习 首 包 检查 | 
YY 防御 
x “HTTPS 源 汰 证 防御 
基于 目的 tP 统 计 
包 泪 讼 重信 (pps) : | 2000 “0-80000000) 
基于 源 IP 统 计 
絮 溃 潜 玖 令 {pp: f 


SSsL 防御 E> 





导入 策略 模板 导出 策略 模板 确定 到 消 


图 6-46 HTTPS 防御 策略 的 配置 
过 滤器 配置 除 上 述 防御 策略 外 ， 对 于 不 提供 服务 的 端口 ， 我 们 可 以 通过 配置 
过 滤器 将 其 阻 断 。 
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我 们 单 击 “ 关 联 过 滤器 ”选中 ATIC 缺 省 提供 的 除 “DNS_Amplification” 外 的 所 有 
过 滤器 模板 ， 单 击 “ 确 定 ” 

4. Web 服务 器 

流量 特点 : Web 服务 器 以 HTTP 和 HTTPS 业务 为 主 ，UDP 业务 流量 较 少 。 

(TCP 防御 : TCP 基本 防御 都 可 以 开启 ， 如 图 6-47 所 示 。 其 中 ，ACK Flood 防御 
中 的 严格 模式 的 防御 效果 优 于 宽松 模式 。 

Anti-DDoS 系统 在 直路 部 署 时 ， 推 荐 使 用 严格 模式 ， 业 务 不 会 有 中 断 ， 其 防御 效果 
也 好 于 宽松 模式 的 防御 效果 。 

Anti-DDoS 系统 在 旁 路 部 署 时 ， 建 议 使 用 宽松 模式 ， 因 为 如 果 在 旁 路 部 署 时 使 用 严 
格 模式 ， 根 据 严格 模式 防御 原理 ， 业 务 在 引流 后 ACK 报 文 命中 的 会 话 必须 是 由 SYN 或 
SYN-ACK 建立 ， 和 否则 报 文 会 被 丢弃 ， 会 话 重 建 后 业务 才 会 正常 。 


配置 防 鲫 策略 时 
4 TCP UDP ICMP 一 Other DNS SIP HTTP HTTPS TopN 学 习 ”前 包 检 查 














区 
防 租 > 
TCP 异常 报 文 防 娘 
包 妹 地 码 答 (pps) 14000 * {1-80000000) = 
x TCP 基 本 防 萎 
过 SYN Flood 防 街 | 
认证 模式 error-seq * nght-seq | 
人 天 大 注入 (pps) 2000 * {1-80000000) | 
到 湖 P SYN 报 文 比 本 工党 限 束 J 
SYNLRakobbgy 讽 全 (%) s0 *{0-100) 和 
检查 也 期 做 ) 5 "(1-600} 
SYNI 文 个 政委 速记 时 (个) 20 * (0-80000000) 
辽 玉 局 遇 (从) 加 “(1-600) 
本 ACK Flood 防 特 
他 速 中 泣 值 (pps) 20000 |] {1-80000000) 
总 TCP 分 片 下 击 防 秽 
包 速 认 尖 秸 (pps) 2000 * {1-80000000) 
汪 FINRST Flood 六 部 
多 素 谤 从 pps) (s0 * {1-80000000) 
TCP 连 按 烽 尽 攻 二 防 部 
目的 IP 地 址 并 发 连接 数 输 各 
应 接 数 请 全 5000 “(1-80000000) 
目的 iP 地 址 新 建 尝 赚 速 紊 检查 
连 坊 深 直 疡 值 注 按 数 f) 1000 “( 人 10000000) 
源 iP 地 址 新 建 连接 速率 检 重 
过 政 衣 源 2 
源 fP 地 址 连接 数 检查 
入 0 
异常 会 活检 查 这 
| 0 ~(t255) 
检查 庆 半 各 ) 5 “ {1-240) 
局 ” 空 连 按 栓 查 
每 次 连 滨 最 小 报 文 数 1 “(1255) 
禄 可 局 天 各) 30 * (1-240) 
交 ” 醒 待 会 话 给 查 
旦 传 近 文思 值 200 “ (1-4023) 
V Sockstess 
TCP 罕 口 大 小 户 全 他 导 ) 1 "(1.65535) > 


导入 策 周 模板 导出 第 路 模板 确定 取消 


图 6-47 TCP 防御 策略 的 配置 
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图 6-47 中 的 配置 在 攻击 时 仅 能 告警 ， 我 们 需要 配置 动态 黑 名 单 功 能 才能 进行 清洗 。 
建议 在 应 急 的 时 候 再 开启 动态 黑 名 单 功 能 ， 开 启 方法 如 图 6-48 所 示 。 


LF 默认 防护 对 象 的 防御 第 略 ?x 
防御 模式 。 ”过 滤器 位置 策略 。 防御 策略 


防护 名师 (Mbis)- | 1000 |*t1-2000000) 入 流量 乱 坑 格 启动 根 流 @ 
smn ops): [100 (te0000000) @ 
引流 模式 全 自动 执行 “-》 手动 确 兴 @ 
防御 模式 “自动 执行 “手动 确认 ®@ 
动态 黑 名 单 模式 ; (2 关闭 ®@ 
单 目的 IP 限 流 : 站 mbps): | 100 |*(12000000} @ 
中 信誉 : 开启 告警 油箱 tpps) - 2000 *(1-80000000} 四 国 
新 建 会 话 限 速 开启 驯 速 油 值 ( 注 接站 员 59: | 30000 。 (1-4090093 rr 国 
和 级 黑洞 开 富 轩 尖 人 (Mbp5)- |; 100 (1-10000000} 国 
恶意 流量 过 滤 DoS 攻 去 工具 @ 
确定 关闭 


图 6-48 ”开启 动态 黑 名 单 


@ UDP 防御 : Web 服务 器 一 般 没有 UDP 业务 ， 因 此 UDP 流量 很 小 ， 直 接 限 流 即 
可 ， 如 图 6-49 所 示 。 


配置 防 他 策略 。 a x 
4TCP UDP ICMP ”other DNS SIP .HTTP HTTPS “TopN 学 习 首 包 检查 应 
明 断 
六 限 流 
冲 UDP 限 流 EE 
带宽 六 值 ( Mbit/s) : 0 "42000000) 
习 UDP 分 片 限 流 区 
这 宽阔 值 ( Mbit/s) : 5 "(2000000) 
UDP 新 建 会 话 限 束 
” 强 速 国 值 ( 连 深 数 形 仆 10000 {1-400000} 
防御 


导入 策略 模板 导出 策略 模板 确定 取消 


图 6-49 UDP 防御 策略 的 配置 


(8) ICMP 防御 : 正常 情况 下 , 现 网 中 只 有 少量 的 Ping 报 文 ， 因 此 ICMP 的 限 速 阔 值 
可 以 配置 得 小 一 点 ， 如 图 6-50 所 示 。 
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配置 防 钙 策略 2 x 
4TCP UDP ICMP other DNS SIP HTTP HTTPS -TopN 学 习 首 包 检查 » 
阻 断 
二 限 流 
扫 ICMP 限 流 jor eee 
包 速 达 闭 值 (pps) : 50 "(12000000) 
| ICMP 新 建 会 活 限 束 
| 10000 {1.400000) 


导入 策 赂 模板 导出 策略 模板 确定 取消 


图 6-50 ICMP 防御 策略 的 配置 
@ Other 报 文 的 防御 以 限 流 为 主 ， 如 图 6-51 所 示 。 


配置 防 爸 流 略 和 2 X 


4TCP UDP ICMP other DNS SIP HTTP HTTPS “TopN 学 习 首 包 检查 ly 
| 阴 断 
切 限 流 
| Other 限 流 
重生 (Mbit ls 2000000) 
[Other 新 建 会 活 限 速 
投 速 闪 什 (连续 数 友 ) 10000 J (1400000) 
防御 


导入 策略 模板 导出 策略 模板 确定 瑞 消 


图 6-51 Other 防御 策略 的 配置 


@ HTTP 源 认证 防御 ， 如 图 6-52 所 示 。 

多 数 用 户 的 浏览 器 和 App 都 有 完整 的 HTTP， 因 此 可 以 顺利 通过 “302 重 定向 ” 认 
证 ， 当 流量 超过 阐 值 触发 防御 后 ， 用 户 感知 不 到 认证 过 程 ， 业 务 访问 不 会 受 任何 影 响 。 
但 个 别 的 App 和 程序 可 能 使 用 不 完整 的 HTTP， 无 法 通过 HTTP“302 重 定向 ”的 认证 ， 
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导致 业务 受到 影响 ， 这 个 时 候 我 们 需要 关闭 HTTP 源 认证 防御 ， 避 免 影响 业务 。 





术 


4FICP UDP ICMP Other DNS SP HTTP HITPS -TopN 学 习 普 包 检查 


4000 ‘* (1-80000000) 





0 





0 











验证 藻 栓 入 框 标题 设 什 鳞 
源 认证 终止 条 件 
擅 太 党 流 次 数 (次 i080 
60 
105 ® 
导入 策略 模板 导出 第 略 模板 确定 取消 
图 6-52 HTTP 防御 策略 的 配置 
@ HTTPS 源 认 证 防御 ， 如 图 6-53 所 示 。 
配 秆 防 伯 策略 SS 2x 
4TCP UDP ICMP Other DNS SIP HTTP a Top N 学 习 ”“ 首 包 检查 I 
防御 
ww HTTPS 源 认证 防 部 
基于 目的 IP 统 计 a ” a 
包 速 率 羡 值 (pps) 2000 | * {1-80000000) 
基于 源 iP 统 计 
# 0 
SSL 防 御 国 
| 3 有 





导入 策略 模板 导出 策略 模板 确定 取消 


图 6-53 HTTPS 防御 策略 的 配置 


@ 过 滤器 配置 : 除 上 述 防御 策略 以 外 ， 对 于 不 提供 服务 的 端口 ， 我 们 可 以 通过 配 
置 过 滤器 对 其 进行 阻 断 。 
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我 们 单 击 “关联 过 滤器 ”， 选中 ATIC 缺 省 提供 的 除 “DNS_Amplification” 外 的 所 有 
过 滤器 模板 ， 单 击 “ 确 定 ” 

5.， 金融 服务 器 

金融 服务 器 通常 包含 Web 服务 器 和 DNS 授权 服务 器 两 种 。 

G Web 服务 器 ， 其 防御 策略 请 参考 “Web 服务 器 ”的 防御 策略 配置 模板 。 

@ DNS 授权 服务 器 ,其 防御 策略 请 参考 “DNS 授权 服务 器 ”的 防御 策略 配置 模板 。 

6. 游戏 服务 器 

游戏 服务 通常 包含 3 种 类 型 : Web 服务 器 、TCP 游戏 服务 器 和 UDP 游戏 服务 器 。 

Q) Web 服务 器 ， 其 防御 策略 请 参考 “Web 服务 器 ”的 防御 策略 配置 模板 。 

@ TCP 游戏 服务 器 ， 其 采用 “通用 服务 器 ”的 策略 模板 ， 其 中 UDP 限 流 阔 值 调整 
为 “10Mbit/s”。 

@ UDP 游戏 服务 器 ， 其 采用 “通用 服务 器 ”的 策略 模板 ， 其 中 TCP 防御 调整 为 
“ 限 流 ”。 


6.4.5” 阅 值 调整 


攻击 检测 功能 实质 就 是 Anti-DDoS 系统 对 流量 进行 分 类 统计 ， 并 和 预先 配置 的 阔 值 
进行 比较 ， 如 果 流 量 超过 阔 值 则 认为 流量 异常 ， 上 报 ATIC。 因 此 ,攻击 判断 是 否 准确 取 
决 于 阔 值 设置 的 是 否 合 理 。 然 而 ， 阔 值 的 设置 通常 没有 统一 的 经 验 值 可 循 ， 不 同 的 网 络 
有 不 同 的 应 用 ， 每 种 应 用 又 有 不 同 的 实际 带宽 。 人 Anti-DDoS 
系统 上 线 后 的 阔 值 配置 一 直 是 个 让 人 头疼 的 问题 。 

QD 阐 值 设置 过 低 ， 在 没有 发 生 攻 击 时 ， 系 统 就 启动 攻击 防御 功能 ， 会 产生 误 报 。 

@ 阔 值 设置 过 高 ， 即 使 发 生 了 攻击 ， 系 统 也 无 法 感知 ， 不 能 及 时 启动 防御 功能 

管理 员 在 配置 防御 阔 值 前 ， 应 该 先 了 解 网 络 中 流量 的 基本 模型 ， 根 据 网 络 中 流量 模 
型 手工 配置 防御 阔 值 。 

Anti-DDoS 系统 支持 对 流量 的 动态 基线 学 习 功 能 。 动 态 基 线 学 习 是 指 系统 按时 间 统 
rr 
管理 中 心 将 其 展现 给 管理 

基线 学 习 设 置 如 下 。 

GO 选择 “防御 一 策略 配置 一 防护 对 象 ” 单 击 具 体 防 护 对 象 的 “基线 学 习 状态 ” 列 ， 
如 图 6-54 所 示 。 











防护 对 象 
仿 抽 六 觅 人 本 基部 村 全 部 ”让 雍 业 千 蜂 没 省 拓 拆除 岗 革 33 。 贿 SA 苏 BH 内 导 出 全 部 

| 防护 对 杀 类 型 设备 名 称 服务 学 习 状态 异常 状态 防御 状态 
NFA 全 定义 NFA_Ciluster 未 学 习 Ee 自动 
one 言 定义 chenj 未 学 习 正常 
ddos’ 宫 定 义 ' x16 未 学 号 正常 
HBYD_WH_DDoS2 在 定 义 HBYD_WH_DDoS2: ”未 学 导 正 党 

10 [IY| 总 共 4 国 


图 6-54 ”基线 学 习 状 态 
@ 配置 学 习 参数 ， 如 图 6-55 所 示 。 
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创建 基线 学 习 任务 
基线 名 称 
学 习 记 期 (天) . 1 “(1-90) 
当 凋 逢 权重 @ 

?马上 启动 

* 手动 停止 


*% 全 


自 定义 时 间 
自 定义 时 间 


开始 时 间 
结束 时 间 : 


生动 生效 钱 





图 6-55 “学习 参数 的 配置 
@@ 基线 学 习 任务 启动 后 ， 系 统 每 $ 分 钟 刷新 一 次 学 习 结 果 。 我 们 只 有 完成 一 个 学 
习 周 期 的 学 习 ， 才 能 将 学 习 结果 应 用 到 防御 策略 中 。 基 线 学 习 完 成 后 ， 我 们 单 击 下 面 红 
框 中 的 “详细 ”可 以 看 到 学 习 结 果 ， 如 图 6-56 所 示 。 





基线 学 习 结果 ， 人 
基线 学 习 结 果 
闪 应 志 诗 充值 服务 名 称 -| 设备 :| NFA_Cluster ~ 基 充 :|- ~ | 吕 理 交 
NFA Cluster Basic NFA 8 8.. — DNS Query .. 100 Kbit/s 350Kbitls 700Kbits ” 锯 
NEA-Cluster Basic NFA 8.8.. — DNS Query .. 100pps 614 pps 1228 pps 3 
NFA Cluster Basic NFA 8 8.. — DNS Reply -~ 100 Kbit/s 350Kbitls 700Kbiis 。 峰 
NFA Cluster 。 Basic NFA 8 8. — DNS Reply .. 100 pps 470pps 940pps 党 
NFA_Cluster ”Basic_NFA_8 8. 一 HTTP Flood 。 100 Kbit/s 17338 Kbitls ”31208 Kbitis “ 峰 
NFA_Cluster Basic NFA_ 8_8.， — HTTP Flood... 100 pps 5308 pps 10000pps 。 活 
NFA Cluster © Basic NFA 8 8.. — HTTPS Floo0... 100 Kbit/s 288Kbits 。 576Kbitls 。 沁 
NFA Cluster Basic NFA 8 8.. 一 HTTPS Flo0.. 100 pps 526 pps 1052 pps E33 
NFA Cluster Basic NFA 8.8.. — ICMP Flood ... 100 Kbit/s 2258Kbitis ”4516Kbils 。 猴 
NFA Cluster Basic NFA 8 8. — ICMP Flood ... 100 pps 2730 pps 5460pps 党 
1 加 sex 加: ] 


图 6-56 ”基线 学 习 结 果 
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当前 值 : 它 是 指 当前 防御 策略 配置 的 阔 值 。 

基线 值 : 它 是 指 基 线 学 习 学 到 的 报 文 流量 值 。 

建议 值 : 它 是 对 当前 值 和 基线 值 经 过 一 定 计算 得 到 的 策略 项 的 建议 阔 值 。 建 议 值 下 
发 到 Anti-DDog 设备 上 后 即 变 为 当前 值 。 


6.4.6 ”查看 报表 


ATIC 还 提供 了 丰富 的 报表 功能 , 用 于 展示 流量 模型 。 下 面 我 们 介绍 一 下 报表 的 几 个 
重要 看 点 。 

1. 正常 流量 与 攻击 流量 的 区 分 

Anti-DDoS 设备 的 流量 对 比 报表 中 有 三 条 曲线 : 入 流量 、 出 流量 和 攻击 流量 ， 如 
图 6-57 所 示 。 


专项 报表 
“数据 总 览 。 流量 对 比 。 流量 Top N 应 用 流量 。 协议 类 型 分 布 。” TCP 连接 小 。 单 板 流量 。 ip 位 置 Top N  P 位 置 流量 
流量 分 析 
设备 : 全 部 - 沈 洗 2 
异常 政 击 分 析 - 1 
防护 对 象 全 部 | 
DNS 分 析 a A 
HTTP{S) 分 析 协议 全 部 
时 间 : 2017-07-04 0000.00 岁 | 至 2047-07-04 23:59:59 由于 泣 涪 隔 小 于 1 天 ， 则 每 阿 5 分 钟 婉 计 一 次 数据 ) 
婉 计 方式 ; 均 僵 | w | 
单位 * ”pp5 kbps 


图 6-57 报表 参数 设置 


从 这 简单 的 三 条 线 我 们 能 看 出 来 什么 呢 ? 小 图 表 隐 含 大 内 容 。 

报表 支持 不 同 粒度 和 维度 的 查询 条 件 ， 了 地 址 明确 的 情况 下 ， 设 备 可 以 针对 指定 的 
卫 地址 做 单个 IP 的 查询 。 

来 看 两 张 现 网 真实 的 报表 ， 如 图 6-58 和 图 6-59 所 示 。 


EEC 
流量 对 比 


18,000,000 | 


18.000,000 | de 
de 》 


14.000,000 ; | 


12,000,000 ; 
se | 
BD 10.000.000 : 


2 8.000.000 | 







6,000.000 : 
4,000,000 i i 外 


2.000.000 ; 








9 i 
08.20 00:00 08-20 04:48 08.20 09:36 08.20 14:24 08.20 19:12 08.21 00:00 


轿 ” 攻 击 注 。 ，， 国 入 流量 _ 芒 出 流量 


图 6-58 ”攻击 时 流量 对 比 
正常 的 业务 流量 曲线 的 流量 过 度 平 滑 ， 无 明显 的 流量 突 发 ( 电 商 活动 抢购 除外 )。 


平 5 


内 导 册 为 PDF 格式 文件 ， 国 导出 为 EXCEL 格 式 文件 ” 国 导出 为 CSv 属 式 文件 末 发 EMAL 
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50,000 


08- 和 0000™ 08-19 04:48 08-19 09:36 08-19 14:24 08-19 19:12 08.20 00:00 


攻击 流量 国 入流 里 _ 前 由 


图 6-59 清洗 后 流量 对 比 


@ 图 6-58 中 流量 有 明显 的 3 次 突 发 ， 有 可 能 存在 攻击 。 
@ 图 6-59 中 流量 有 一 个 明显 的 突 发 ， 但 是 突 发 的 峰值 不 大 ， 与 全 天 的 流量 峰值 持 
这 个 不 一 定 是 真 的 攻击 。 

2， 浏 定 攻击 的 类 型 

回 到 查询 条 件 ， 设 备 支持 按照 协议 类 型 来 查询 流量 曲线 ， 如 图 6-60 一 图 6-62 所 示 。 


4 数据 总 览 。 ”流量 对 比 。 流量 Top N 应 用 流量 ”协议 类 型 分 布 。” TCP 连接 数 








“至 2017-07.0423:59:59 办 | 





图 6-60 按照 协议 类 型 查询 





流量 对 比 








08.0000 08-2004:48 08.200936 08.20 14:24 08.20 19:12 08.21 00:00 


图 6-61 基于 UDP 的 流量 对 比 
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50,000 
08: 久 00:00 08-20 04:48 08-20 09:36 08-20 14:24 08-20 19:12 08-21 00:00 


图 ”攻击 注 量 图 入 流量 Ce 


图 6-62 基于 TCP 的 流量 对 比 


从 图 6-61 和 图 6-62 可 以 看 出 , 明显 的 3 次 流量 突 发 都 为 UDP 报 文 , 即 UDP Flood 
攻击 。 . 

3. 优化 调整 

如 图 6-63 所 示 ， 防 护 效 果 主 要 显示 流量 曲线 (第 2 条 曲线 ) 是 否 平滑 ， 正 常 业务 流量 
强度 是 否 匹 配 。 

@ 出 流量 大 ， 并 且 出 流量 仍然 存在 明显 的 突 发 ， 说 明 防护 效果 不 好 ， 可 能 存在 
漏 防 。 

@ 出 流量 小 ， 并 且 出 流量 有 明显 的 下 降 ， 可 能 存在 误 判 。 


650,000 = EE ~ 
600,000 ~ 
550,000 s 
500,000 和 > 可 
450 .000 
300,000 
9 08-20 14:24 08-20 19:12 08-21 00:00 


08: 久 00:00 08-20 04:48 08-20 09:36 


本 攻击 并 和 页。 入 流 里 CN 
图 6-63 ”流量 对 比 效果 展示 
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7.1 城 域 网 防护 
城 域 网 是 指 在 地 域 上 覆盖 一 个 城市 ， 为 城 域 多 业务 提供 综合 传送 平台 的 网 络 。 它 主 


要 应 用 于 大 中 型 城市 地 区 ， 提 供 通用 和 公共 的 网 络 构架 ， 以 便 数 据 、 声 音 、 图 像 和 视频 
等 信息 的 高 速 有 效 的 传输 ， 满 足 用 户 日 新 月 异 的 互联 网 应 用 需求 ， 如 图 7-1 所 示 。 





图 7-1 城 域 网 组 网 示意 


城 域 网 中 的 流量 很 大 、 种 类 复杂 ， 通 常 充斥 着 各 式 各 样 的 攻击 。 针 对 城 域 网 流量 特 
点 ， 相 关 人 员 规 划 城 域 网 时 可 从 以 下 几 个 方面 考虑 。 


7.1.1 规划 思路 


1. 选择 检测 设备 

从 检测 技术 角度 看 ,一 由 于 城 域 网 流量 非常 大 ， 我 们 可 以 采用 逐 流 检测 技术 代替 逐 包 
检测 技术 ， 以 提高 检测 效率 。Netflow 设备 属于 抽样 检测 设备 ， 可 以 应 对 城 域 网 中 的 超 
大 流量 攻击 ， 对 性 能 要 求 不 高 。 

从 商务 成 本 角度 看 ， 现 网 中 已 部 署 了 很 多 的 Netflow 设备 ， 这 些 Netflow 设备 可 以 
直接 与 Anti-DDoS 清洗 设备 联动 ， 实 现 检测 和 清洗 功能 。 用 户 通常 无 须 单独 购买 检测 设 
备 ， 直 接 使 用 现 网 已 存在 的 Netflow 设备 进行 联动 即 可 ， 成 本 较 低 。 用 户 Netflow 设备 
的 价格 也 要 比 Anti-DDoS 检测 设备 低 ， 但 在 技术 上 也 可 满足 工作 的 要 求 。 

Anti-DDoS 设备 不 仅 支 持 Netflow 设备 联动 ， 也 支持 华为 自 研 的 NFA 设备 。 

2. 清洗 设备 选择 
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由 于 城 域 网 流量 非常 大 ， 在 发 生 攻击 时 ， 业 务 处 理会 消耗 设备 性 能 ， 所 以 建议 用 户 
将 AntiDDoS8000 作为 清洗 设备 ， 其 中 ，AntiDDoS8080 设备 或 者 AntiDDoS8160 设备 的 
业务 处 理 能 力 很 强 。 因 为 AntiDDoS8000 是 分 布 式 插 卡 设备 ， 所 以 可 扩展 性 强 。 

对 于 具体 的 业务 板 卡 和 接口 板 卡 的 选 配 ， 用 户 要 结合 现 网 实际 的 带宽 进行 规划 ， 并 

预 留 一 定 的 清洗 性 能 空间 ， 从 而 应 对 大 流量 攻击 场景 。 

3. 部 署 方式 

在 城 域 网 场景 中 ， 我 们 通常 采用 AntiDDoS8000 设备 与 Netflow 设备 进行 联动 ， 以 从 旁 路 
部 署 组 网 。Netflow 设备 实时 对 现 网 流量 进行 检查 ， 发 现 异常 后 ，AntiDDoS8000 设备 会 进行 动 
态 引流 和 清洗 。 这 种 动态 引流 的 旁 路 部 署 组 网 只 有 在 攻击 发 生 时 才 会 引流 ， 所 以 可 靠 性 最 高 。 

4. 流量 引导 方式 

城 域 网 组 网 复杂 ， 防 护 的 IP 地 址 多 ， 通 常 采用 BGP 引流 。 回 注 方式 主要 依赖 于 客 
户 的 现 网 环境 ， 通 常 使 用 MPLS LSP。 运 营 商 下 行 链 路 比较 多 ， 如 果 使 用 策略 路 由 ， 需 
要 依据 不 同 的 目的 IP 指定 不 同 的 下 一 跳 。 当 目的 IP 比较 分 散 时 ， 配 置 复 杂 ， 其 可 使 用 
MPLS LSP 回 注 方式 ， 在 直 连 口 开启 MPLS LSP 隧道 

5， 业 务 子 卡 规划 

AntiDDoS8000 是 分 布 式 设备 ， 但 设备 是 检测 设备 还 是 清洗 设备 取决 于 业务 子 卡 的 
类 型 。 在 缺 省 情况 下 ，AntiDDoS8000 业务 板 的 子 卡 不 具备 检测 或 清洗 功能 ， 用 户 需 要 
通过 命令 指定 某 槽 位 业务 子 卡 具有 检测 功能 还 是 清洗 功能 。 在 本 场景 中 ， 用 户 需 要 通过 
命令 指定 业务 子 卡 具有 清洗 功能 

6. License 控制 

AntiDDoS8000 业务 板 的 子 卡 同时 也 会 受 License 控制 ， 命 令 制 定 后 ， 要 加 载 相 匹 配 
的 License， 才 能 生效 。AntiDDoS8000 设备 的 清洗 License 控制 项 见 表 7-1。 


表 7-1 AntiDDoS8000 0 的 清洗 License 内 







| 激活 te 清洗 功 能 可 用 
激活 License 后 ， 清 洗 功能 可 用 
激活 License 后 ， 清 洗 功 能 可 用 







只 角 一 ADS- SPC- 20 )-00 业务 子 卡 上 


只 能 加 载 在 ADS-SPC-40-00 业务 子 卡 上 


只 能 加 载 在 ADS-SPC-80-00 业务 子 卡 上 


AntiDDoS8000 设备 支持 使 用 主 控 板 ESN 和 背 板 ESN 申请 License。 主 控 板 的 ESN 
可 以 使 用 命令 display esn 进行 查询 ， 背 板 的 ESN 可 以 使 用 display esn all 进行 查询 ， 
显示 的 BackPlane 为 背 板 的 ESN， 也 可 以 使 用 命令 display license esn 进行 查询 ， 我 们 推 
荐 使 用 背 板 ESN 申请 License。 因 为 主 控 板 故障 率 比 背 板 高 ， 因 此 更 换 以 后 需要 重新 
申请 License， 且 其 在 双 主 控 情 况 下 需要 使 用 两 个 ESN， 当 任何 一 个 主 控 板 出 现 故 障 
时 ，License 都 要 被 更 换 。 

在 双 主 探 情况 下 ， 主 用 主 控 板 的 ESN 必须 被 同时 提供 。 假 如 只 使 用 主 用 主 控 板 的 
ESN 申请 并 激活 License 文件 ， 那 么 设备 还 需要 重新 使 用 主 用 主 控 板 和 备用 主 控 板 的 
ESN 去 申请 License 文件 ， 并 取消 已 经 激活 的 License 文件 ， 再 激活 新 的 License 文件 
才 可 正常 运行 。 

7. 接口 规划 














请 这 了 40 
清洗 子 卡 -80 
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AntiDDoS8000 设备 作为 清洗 设备 需要 具有 一 个 引流 口 、 一 个 回 注 口 、 一 个 与 ATIC 
通信 的 管理 口 和 一 个 日 志 口 。 

其 中 ， 引 流 口 和 回 注 口 可 以 是 两 个 不 同 的 主 接口 ， 也 可 以 是 一 个 主 接口 下 的 两 个 子 
接口 。 

管理 口 和 日 志 口 ， 可 以 是 同一 个 接口 ， 也 可 以 是 不 同 的 接口 。 主 控 板 接口 Gigabit 
Ethernet0/0/0 可 以 作为 与 ATIC 通信 的 管理 接口 ， 但 不 能 作为 向 ATIC 发 送 日 志 的 接口 。 
所 以 如 果 管 理 口 和 日 志 口 用 同一 个 接口 的 话 ，GigabitEthernet0/0/0 就 不 能 作为 接口 。 

ATIC 服务 器 只 有 GE 接口 ， 建 议 在 接口 板 预 留 1 个 GE 接口 与 ATIC 互联 。 如 果 
AntiDDoS8000 设备 上 只 有 10GE 接口 ， 也 可 以 使 用 中 间 网 络 设备 进行 GE 接口 与 10GE 
接口 的 转换 。 

8 防御 策略 

城 域 网 中 流量 大 ， 用 户 众 多 ， 一 般 以 保证 带宽 、 解 决 链 路 拥塞 为 防御 目的 。 在 
部 署 时 ， 工 程 师 需要 先 甄 别 出 需 要 重点 保护 的 目的 耳 地 址 ， 加 入 自 定 义 防护 对 象 ， 
并 基于 自 定义 防护 对 象 配置 相应 的 防御 策略 ;对 于 不 确定 的 要 保护 的 目的 IP 地 址 ， 
则 用 默认 防护 对 象 防御 策略 进行 保护 。 工 程 师 针对 不 同 的 防护 对 象 应 配置 不 同 的 防 
御 策 略 。 

如 果 运 营 商 有 运营 上 的 需求 ， 则 可 以 创建 自 定义 防护 对 象 ， 将 不 同 租户 加 入 不 同 防 
护 对 象 ， 为 其 配置 差异 化 防御 策略 。 

9. 安全 策略 规划 

在 缺 省 情况 下 ，AntiDDoS8000 设备 上 的 安全 策略 是 关闭 的 ;可 以 打开 缺 省 包 过 滤 。 

10. ATIC 

ATIC 由 管理 中 心服 务 器 和 采集 器 两 部 分 组 成 ， 并 有 两 种 部 署 方 式 。 

Q 集中 式 部 署 : ATIC 服务 器 和 采集 器 同时 安装 在 同一 台 物 理 服务 器 上 。 

@ 分 布 式 部 署 : ATIC 服务 器 和 采集 器 分 别 安装 在 不 同 的 物理 服务 器 上 ,多 台 采 集 器 
可 以 共用 一 台 ATIC 服务 器 ， 一 台 ATIC 服务 器 最 多 可 管理 20 台 采 集 器 。 

一 台 采 集 器 可 以 处 理 大 约 30 万 个 卫 地 址 的 Anti-DDoS 业务 日 志 ， 可 以 根据 防护 对 
象 的 他 地 址 个 数 来 选择 ATIC 部 署 方式 。 设 备 旁 路 部 署 时 ， 如 果 多 台 设 备 部 署 地 比较 分 
散 ， 仍 然 建议 配置 多 台 采 集 器 。 

11. 路 由 规划 

Netflow 设备 、 清 洗 设备 、ATIC 三 者 之 间 要 路 由 可 达 。 


7.1:.2 ”上 典型 组 网 


如 图 7-2 所 示 ， 清 洗 设备 旁 路 部 署 在 核心 路 由 器 Router 1 上 ， 对 到 达 防 护 对 象 的 流 
量 进行 清洗 ， 清 洗 完成 后 ， 再 将 正常 流量 以 MPLS LSP 方式 回 注 到 原 链 路 Router 2， 
Router2 继续 转发 流量 ， 最 终 将 流量 发 送 到 防护 对 象 。 

清洗 设备 仅 有 一 个 接口 与 Router 直 连 ， 主 接口 引流 ， 子 接口 回 注 ; 在 接口 充足 的 情 
况 下 ， 其 他 主 接口 也 可 被 用 于 回 注 。 





第 7 篇 实战 169 





-一 一 -他 正常 流量 
-一 一 全 攻击 流量 
2 Netflow 流量 
…w 管理 流量 








城 域 网 内 网 城 域 网 内 网 目标 网 络 
图 7-2 流量 走向 示意 


7.1.3 ”数据 规划 
清洗 设备 和 管理 中 心 的 IP 地 址 规划 ， 如 表 7-2 和 图 7-3 所 示 。 
表 7.2 IP 地 址 规划 表 | 





清洗 口 ， 即 引流 流量 入 接口 ， 清 洗 设 备 对 从 该 口 进 入 的 
流量 应 用 各 种 防御 策略 ， 对 流量 进行 分 析 和 清洗 


| GE2/0/1.100 | 回 注 口 ， 清 洗 后 的 正常 流量 通过 此 接口 回 注 到 原 链 路 
该 设备 和 管理 中 心 通信 口 ， 清 洗 设备 将 日 志 报 文 / 抓 包 报 
清洗 设备 文 发 送 至 管理 中 心 的 Anti-DDoS 采集 器 ， 供 Anti-DDoS 
GE3/0/0 10.1.6.1/24 | 采集 器 分 析 以 及 进行 后 续 处 理 。 
此 接口 卫 地 址 与 管理 中 心 IP 地 址 必须 路 由 可 达 ， 本 例 
中 ， 此 接口 IP 地 址 与 管理 中 心 在 同一 网 段 














loopback 接口 | 2.2.2.2/32 | 用 于 MPLS LSP 回 注 
时 中 心 四 10.1.6.2/24 | 与 清洗 设备 路 由 可 达 
GE1/0/1 引流 通道 
GE1/0/1.100 | 10.1.3.1/24 | 回 注 通道 
GE1/0/3 10.1.5.1/24 | 该 设备 和 Router 2 直 连 
loopback 接口 | 5.5.5.5/32 | 用 于 MPLS LSP 回 注 
Roiter 2 | loopback 接口 | 3.3.3.3/32 | 用 于 MPLS LSP 回 注 





un 
江 

















Router 1 
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( 续 表 ) 





10.1.5.2/24 | Router 2 Routerl 直 连 

Router 2 与 Netflow 设备 路 由 可 达 
Netflow 与 Router 2 直 连 

Netflow 与 管理 中 心 通信 口 













Router 2 





Netflow 










loopback 


5.5.5.5/32 GE1/0/1 GE2/0/1 loopback 


10.1.2.1/24 10.1.2.2/24 2.2.2.2/32 







Routerl 












GE1/0/3 上 
10.1.5.1/24 = 
0 OL 3 10 上 1/24 
10.1.5.2/24 小 户 
Router2 上 
loopback GE1/0/2 
3.3.3.3/32 1.1.1.2/24 nethiow | 
ee -一 一 一 正常 流量 
防护 对 象 -~ 二 攻击 流量 
= 1.1.1.1/32 
i - Netflow 流量 


图 7-3 ”IP 地址 规划 


如 果 是 威 豁 公 司 Netflow 设备 ， 必 须 为 2014 年 1 月 1 日 以 后 的 版 本 。 
Router 1 的 接口 GE1/0/1 与 清洗 设备 的 接口 GE2/0/1 之 间 的 通道 为 引流 通道 。 
Router 1 的 接口 GE1/0/1.100 与 清洗 设备 的 接口 GE2/0/1.100 之 间 的 通道 为 回 注 通 道 。 


7.1.4 配置 思路 


1. 清洗 设备 的 主要 功能 配置 

GD 加 载 License。 

@ 指定 业务 子 卡 的 类 型 。 

@) 配置 接口 卫 地 址 ， 接 口 加 入 安全 区 域 ， 并 打开 域 间 缺 省 包 过 滤 。 
@) 更 改 缺 省 用 户 名 和 密码 ， 并 配置 Telnet 功能 。 

@ 配置 SNMP 功能 ， 使 管理 中 心 可 以 获取 清洗 设备 的 状态 。 
@ 配置 清洗 口 ， 并 在 清洗 口 开 启 流量 统计 功能 。 

@ 配置 引流 和 回 注 功能 。 

保存 配置 。 

2. 管理 中 心 的 功能 配置 

Q 第 一 次 登录 管理 中 心 。 
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@ 创建 Anti-DDoS 设备 。 

@ 配置 相应 的 防御 策略 。 

@ 保存 配置 。 

另外 ， 还 要 完成 对 接 路 由 器 的 相关 配置 ， 本 例 给 出 的 路 由 器 配置 仅 作 参 考 ， 在 现 网 
中 ， 工 程 师 应 根据 路 由 器 的 具体 型 号 进行 配置 。 


7.1.5 ”配置 过 程 


1. 配置 ATIC 

步骤 1 登录 ATIC。 

在 浏览 器 中 输入 管理 中 心 IP 地 址 ， 按 “Enter” 键 = 在 登录 界面 输入 用 户 名 、 密 码 
和 验证 码 。 用 户 名 为 admin， 密 码 为 Admin@123， 单 击 “ 登 录 ”。 第 一 次 登录 时 界面 会 
提示 修改 初始 密码 。 

步骤 2 创建 Anti-DDoS 设备 ， 将 清洗 设备 添加 到 ATIC， 如 图 7-4 所 示 。 



































创建 设备 x 
设备 信息 
基本 信息 
设备 名 称 [den pt [10161 一 | 
类 型 : Ani-opos | 日 志 源 IP : 10.1.6.1 i 
日 志 密 三 : ee en | 
ae rr es i 3 ds 3 
类 型 STELNET -| 
用 户 各 [a | 密码 
公 钥 | 
提示 : 
+. 如果 盾 写 了 公 稻 ,使 用 STELNET、SFTP 协 议 访问 设备 时 对 设备 进行 公 和 铀 认证 .。 
2 为 了 , 建议 填写 公 钥 。 
a ee en er 
类 型 : 要 > je 
环境 名 称 : 
授权 认证 协议 : 
数据 加 密 协 议 : 





确定 “取消 


图 7-4 添加 设备 


172 华为 Anti-DDoS 技术 漫谈 


@ 选择 “防御 > 网 络 配置 > 设备 ”。 

@) 单 击 @ 争 。 

。“IP 地 址 ” 指 清洗 设备 管理 口 IP 地 址 。 

se“ 日 志 源 PP” 指 清洗 设备 的 日 志 口 IP 地 址 。 

es“ 日 志 密 码 ” 指 上 报 日 志 的 加 密 密 钥 。 当 成 功 创建 设备 后 ，AIIC 将 密 钥 下 发 到 
Anti-DDoS 设备 上 。 

。 STelnet 的 参数 和 SNMP 的 参数 配置 要 和 清洗 设备 的 配置 必须 保持 完全 一 致 ,系统 
会 进行 校 验 。 

@) 单 击 “ 确 定 ”。Anti-DDoS 设备 被 成 功 添加 到 网 元 列表 中 。 如 果 添 加 失败 ， 工 程 
师 要 检查 STelnet 的 参数 或 者 SNMP 的 参数 是 否 与 清洗 设备 的 配置 一 致 。 

步骤 3 创建 Netflow 设备 。 如 果 有 多 台 Netflow 设备 ， 则 要 添加 多 次 创建 ， 如 图 7-5 
所 示 。 
G@ 选择 “防御 > 网 络 配置 > 设备 ”。 
@ 单 击 人 @ 庭 。 
@) 单 击 “ 确 定 ” Netflow 设备 被 成 功 添 加 到 ATIC 中 。 


创建 设备 ?Xx 
设备 信息 
基本 信息 
设备 名 称 : netlow |] 护 地 址 : ot83 
x [ssomama -| 
确定 取消 





图 7-5 创建 netflow 设备 
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步骤 4 配置 防御 策略 。 

在 配置 防御 策略 时 ,工程师 应 先 杜 别 出 需 要 重点 保护 的 目的 卫 地址 , 将 其 加 入 到 自 
定义 防护 对 象 中 ， 并 基于 自 定义 防护 对 象 配置 相应 的 防御 策略 ， 对 于 不 确定 的 要 保护 的 
目的 瑟 地 址 ， 则 用 默认 防护 对 象 防御 策略 对 其 进行 保护 。 防 御 策略 的 配置 要 结合 实际 网 
络 业务 的 特征 进行 ， 在 城 域 网 中 ， 部 署 位 置 高 ， 更 多 的 是 要 保证 链 路 的 带宽 。 所 以 配置 
防御 策略 时 ， 工 程 师 可 以 考虑 配置 一 些 通 用 的 防御 策略 。 

QD 选择 “防御 > 策略 配置 > 防护 对 象 ”， 创 建 并 单 击 默认 防护 对 象 对 应 的 蓓 ， 如 
图 7-6 所 示 。 


防护 名 讼 (Mbps- 1000 "(1-2000000) ”入流 加 起 规格 咎 动 了 流 














确定 关闭 


图 7-6 防御 模式 的 配置 


@ 配置 TCP 通用 防御 策略 。 防御 阔 值 可 以 根据 基线 学 习 的 结果 进行 调整 ， 如 图 7-7 
所 示 。 

配置 ACK Flood 防御 时 ， 严 格 模式 的 防御 效果 优 于 宽松 模式 的 防御 效果 。 

。 在 直路 部 署 时 ， 推 荐 使 用 严格 模式 。 业 务 不 会 出 现 中 断 ， 防 御 效果 要 也 优 于 宽松 
模式 的 防御 效果 。 

。 在 旁 路 部 署 时 ， 建 议 使 用 宽松 模式 。 如 果 工 程 师 在 旁 路 部 署 时 使 用 严格 模式 ， 根 
据 严格 模式 防御 原理 , 业务 在 引流 后 , ACK 报 文 命中 的 会 话 必须 是 由 SYN 或 SYN-ACK 
建立 的 ， 否 则 报 文 会 被 丢弃 ， 会 话 重 建 后 业务 才 会 正常 运行 。 
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41TCP ”UDP ICMP other DNS SIP HTTP HTTPS -TopN 学 习 首 包 检查 








人 防 乔 
”TCP 异常 报 文 防御 
多 从 (pps) oo e0000000) 
TCP 基 本 防御 
”SYN Flood 防 御 
认证 模式 : error-seq | right-seq 
多吉 于 摇 信 fpps) : | 2000 2 |* (1-80000000) 
测 P SYN 投 文 比例 异常 限 速 机 
SYN-Ratio 比 例 阅 便 (%) : 5 {0-100) 
a a 
Sax again oooo0n) 
须 可 周明 人) ho | (600) 
ACK Flood 防 币 
包 速 训 尘 信 (pps) 0 e0000000) 
只 TCP 分 片 攻击 防御 
ti (pps): zo00 reooo000n) 
FINIRST Flood 防 御 
名表 率 较 什 (pps) [so |*(-80000000) 
”ECP 连 按 磋 尽 玫 击 防御 
目的 |P 地 直 并 发 连接 数 检查 a 
连接 数 说 什 5000 *{14-80000000} 
Sg 2 
连 浪 党 率 漳 值 连接 数秒 ) : (1000 (10000000) 
200 
5 人 
s00 外 (1-80000000) 
Re | a 
检查 周明 他) 5 0) 
ee ee 
人 20 ro 
WE _Sockstress 一 一 一 
TCP 窗 口 大 小 亲人 秆 宁 ) : [10 (5535) 
导入 全 中 模板。 导出 生路 模 板 | 确证。 取 汕 


图 7-7 TCP 防御 策略 配置 


@ 图 7-7 所 示 的 配置 在 攻击 时 仅 能 告警 ， 只 有 配置 动态 黑 名 单 功能 才能 进行 流量 清 
洗 ， 建 议 在 应 急 的 时 候 再 开启 动态 黑 名 单 功 能 ， 开 局 方法 如 图 7-8 所 示 。 


第 7 篇 实战 175 





LF 和 歌 认 防护 对 象 葛 防御 策略 ?2 X 
防御 模式 ”过 滤器 位置 策 略 。 “防御 策略 
防护 寅 (Mbis)。 | 1000 "(1-2000000) 入 流量 起 规格 启动 流 @ 
过 洲 圳 去 车 泣 值 (pps}: [+00 |*(t-80000000) @ 
引流 模式 ?3 自动 涩 行 “) 手动 确认 @ 
防 关 模式 2 自动 雪 行 “手动 确认 @ 
动态 黑 名 单 模式 : 9 自动 关闭 国 
单 目 的 IP 限 流 三 限 流 漳 值 Mbps): | 100 * {12000000 @ 

,人 信誉 : 王室 善待 辣 值 (pps); | 2000 *{1-80000000} 国 
新 建 会 话 限 速 站 证 统 滩 辣 值 轿 接 数 各 ) ， 30000 “(1-400000) 国 
秘 级 黑洞 开启 时 沉 冯 入 Mbps}: | 100 (1-40000000) @ 
恶 吉 流量 过 涉 Dos 攻 二 工具 ] 图 

确定 关闭 
图 7-8 开启 动态 黑 名 单 
、 六 Ry 
@ 配置 UDP 通用 防御 策略 ， 如 图 7-9 所 示 。 
配置 防御 策略 起 Fx 
pe eH i i a 二 
TCP UDP ICMP Other DNS “SiP HTTP HTIPS -TopN 学 习 首 包 检查 下 
| 阻 断 
”| 限 谢 
[UDP 限 流 
带 之 郑 篇 {Mbit/s): 
| UDP 分 片 限 流 
带宽 盖 值 { Mbit/s) : 
]】 UDP 新建 会 话 限 速 
限 速 需 入 {连接 数 # 稍 ) 10000 {1-400000} 
| 防御 


导入 策略 模板 导出 策略 模板 确定 取消 


7-9 UDP 防御 策略 配置 


@ 配置 ICMP 通用 防御 策略 ， 如 图 7-10 所 示 。 

@ 配置 Other 协议 通用 防御 策略 ， 如 图 7-11 所 示 。 

如 果 可 以 确认 访问 被 保护 的 网 络 流量 只 有 TCP、UDP、ICMP 业务 ,不 包含 IPSEC、 
GRE、IGMP 等 其 他 协议 ， 工 程 师 可 开启 限 流 ， 防 御 效 果 会 更 好 。 
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配置 防御 策略 时 
4TCP UDP IcMP Other DNS SIP HTIP HTIPS “TopN 学 习 首 包 检查 » 
阻 汤 
7 限 流 
以 ICMP 限 流 
人 直人 (pps): 500 人 
ICMP 新 建 会 活 限 速 
2 (这 纺 交 入 10000 1400000) 


导入 策略 模板 导出 策 咯 模板 认定 联 消 


图 7-10 ICMP 防御 策略 的 配置 


如 果 存 在 IPSEC、GRE、IGMP 等 其 他 协议 ， 则 不 能 开启 限 流 ， 否 则 会 影响 正常 
业务 。 


配置 防 全 策略 ?x 
4TCP UDP ICMP “Omher DNS SIP HITP HTTPS TopN 学 习 ” 首 包 检查 、 » 
| 阴 断 
| 限 流 
Y 防御 
和 带 痪 六 秆 ( Mbit/s) - 150 too een tht “(4:2000000) 


导入 策略 模板 导出 策略 模板 确定 取消 


图 7-11 Other 防御 策略 的 配置 
@ 配置 DNS 协议 通用 防御 策略 ， 如 图 7-12 所 示 。 
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配置 防御 策略 
4TCP UDP ICMP Other DNS SIiP HTIP HTTPS TopN 学 习 首 包 检查 
v| 咏 佣 
” 淆 他 骤 务 器 特有 基 妈 项 
DNS Request Flood 防 御 
防御 楼 式 被 动 “TCP 认证 全 
包 束 检 滨 秸 {pps} 2000 * {4-80000000) 





图 
2000 
v 

2000 {1-80000000) 
100 {1-80000000} 

交大 报 

DNS 国 应 报 文 长 度 限 制 
三 $12 





导入 策 路 模板 导出 策 巾 模板 确定 取消 


7-12 ”DNS 防御 策略 配置 


配置 HTTP 通用 防御 策略 ， 如 图 7-13 所 示 。 

多 数 用 户 的 浏览 器 和 App 都 有 完整 的 HTTP 协议 栈 , 因此 可 以 顺利 通过 “302 重 定向 ” 
认证 ， 当 流量 超过 阐 值 触发 防御 后 ， 用 户 感知 不 到 认证 过 程 ， 业 务 访问 没有 任何 影响 。 但 
少数 个 别 的 App 和 程序 可 能 使 用 不 完整 的 HTTP 协议 栈 ， 无 法 通过 HTTP“302 重 定向 ” 








配置 防御 策略 PX 
4TCP UDP ICMP Other DNS SIPp HTTP HITRS TopN 学 习 首 旬 检 查 国 
Y 妆 防备 
TI | 
其 于 目的 iP 统计 | 
亿 沪 杰 遂 车 (pps} 8000 Ct-80000000) | 
ay 请 求 这 赦 滨 年 (qps) 4000 “人 1-80000000) 
| 天 于 源 |P 统 计 
| 洲 或 演 漆 涡 绒 
| HTTP 源 认证 防御 
防潮 模式 * 302 重 定向 验证 码 cooki&e 株 认证 JavaScript 重 定向 
| 验 王 到 夫 入 框 标题 设 千 @ 
| Ce 全 
源 认证 疼 赴 条 件 
| 
syn 报 文 限 系 100 “000006 @ 





导入 第 略 模板 导出 第 赂 模板 广 十 取消 


图 7-13 ”HTTP 防御 策略 的 配置 
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@) 配置 HTTPS 通用 防御 策略 ， 如 图 7-14 所 示 。 


配置 防 征 策 略 2 x 


* TCP UDP ICMP Other DNS SIP HTTP HTTPS Top N 学 习 首 包 检 查 让 
ww 防御 
”HTTPS 漂 认证 防御 
基于 目的 IP 统 计 
包 速 滨 阔 值 (pps) | 2000 “(1-80000000) 
基于 源 IP 统 计 
SSL 防 御 使 


导入 策略 模板 导出 策略 模板 确定 取消 


图 7-14 HTTPS 防御 策略 的 配置 


配置 过 滤器 。 对 于 不 提供 服务 端口 的 攻击 ， 通 过 配置 过 滤器 进行 阻 断 ， 否 则 将 
会 影响 防御 效果 。 

我 们 单 击 “ 过 滤器 ” 进入 页 签 后 ， 单 击 @ 关 衣 过 湛 咽 ， 选 中 ATIC 缺 省 提供 的 全 部 
常用 的 过 滤器 模板 ， 单 击 “ 确 定 ” 

步骤 5 部 署 防御 策略 ， 并 保存 配置 。 

G 选择 “防御 > 策略 配置 > 防护 对 象 ” 选中 防护 对 象 前 的 复 选 枉 ， 单 击 芯 部 署 。 

@ 单 击 “ 确 定 ”， 显 示 部 署 的 进度 提示 ， 部 署 完成 后 ， 进 度 提 示 自 动 关闭 。 

@) 选择 “防御 > 策略 配置 > 设备 全 局 配置 ” 选中 Anti-DDoS 设备 前 的 复 选 框 ， 单 
击 国保 在 设备 配置 。。 本 

由 单 击 “ 确 定 ” 显示 保存 的 进度 提示 ， 保 存 完成 后 ， 进 度 提示 自动 关闭 。 

2. 配置 清洗 设备 

步骤 1 加 载 License。 

AntiDDoS8000 的 清洗 功能 是 受 License 控制 的 ， 所 以 用 户 在 购买 设备 的 同时 ， 也 要 
购买 相应 的 License。License 成 功 加 载 并 激活 是 AntiDDoS8000 清洗 功能 可 用 的 前 提 条 件 
二 

License 文件 后 缀 为 *.dat，License 文件 可 以 被 重 命名 , 但 扩展 名 “.dat” 不 能 被 更 改 ， 
否则 系统 将 无 法 正常 加 载 License 文件 。 


第 7 篇 实战 179 


糙 


激活 License 后 ， 我 们 可 和 i license 命令 ， 查 看 License 的 信息 。 
<AntiDDoS> system-view | 
[AntiDDoS] license active lic ， antiddos8000 ， 20160530. dat 


步骤 2 指定 业务 板子 卡 使 其 具备 清洗 功能 。 
在 缺 省 情况 下 ，AntiDDoS8000 的 业务 子 卡 不 具备 清洗 功能 ， 需 要 通过 命令 指定 。 
只 有 与 子 卡 匹配 的 License 处 于 激活 状态 时 ， 在 业务 板 底板 注册 成 功 后 ，AntiDDoS8000 
才 可 以 执行 下 面 的 命令 指定 子 卡 类 型 ， 在 子 卡 注册 成 功 后 ， es nd 


[AntiDDoS] firewall ddos clean-spu slot 4 card0 
[AntiDDoS] firewall ddos clean-spu slot 4 card 1 
[AntiDDoS] display ddos slot 








Slot ID ,CardID CPU Number Config Re ‘Status 
4 0 0. clean Reuse clean 


4 1 2 clean Registered ”clean 


步骤 3 配置 STelnet 功能 。 
配置 STelnet 功能 可 帮助 ATIC 实现 对 清洗 设备 的 管理 ， 比 如 防御 策略 的 下 发 、 引 流 
策略 的 下 发 等 。 as 致 。 


[AntiDDoS] user-interface vty04 
[AntiDDoS-ui-vty0-4] authentication-mode aaa 
[AntiDDoS-ui-vty0-4] user privilege level3 
[AntiDDoS-ui-vty0-4] protocolinbound ssh 
[AntiDDoS-ui-vty0-4] quit 
[AntiDDoS]aaa 

[AntiDDoS-aaa] manager-user atic 


六 





[AntiDDoS- aaa-manager-user-atic] password 
Enter Password: 
Confirm Password: 
[AntiDDoS-aaa-manager-user-atic] servieetype ssh 
[AntiDDoS-aaa- .manager-user-atic] level 5 
[AntiDDoS-aaa-manager- user-atic] quit 
[AntiDDoS-aaa] quit 
[AntiDDoS] rsa local-key- pe ad 
The key name will be: AntiDDoS Host 
The range of public key size is (512 ~ 2048). os 
NOTES: A key shorter than 1024 bits may cause ‘security risks 

The generation ofa key longer than 512 bits r may take several minutes. 
Input the bits in the modulus[default = = 2048]: 
Generating keys... ~ 、 











[AntiDDoS] Stelnet server nable 

[AntiDDoS] ‘sshuseratic | 
[AntiDDoS] ssh user atic nhentieationtype password 、 
[AntiDDoS] ssh user atic service-type stelnet | 


步骤 4 ”配置 接口 全 地址 ， pe 
Q@ 配置 接口 IP 地 址 。 
在 缺 省 情况 下 ，AntiDDoS8000 接口 开启 了 访问 控制 管理 功能 。 管理 接 口 (GE0/0/0) 
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下 的 HITP、HTTPS、Ping 权限 都 是 放 开 的 ， 不 需要 配置 任何 安全 策略 ， 就 能 通过 管理 
口 访问 到 设备 。 非 管理 口 (包括 逻辑 接口 ， 如 VLANIF、VT 接口 、Tunnel 接口 ) 下 的 
Telnet、 Ping、SSH、SNMP 等 权限 都 是 关闭 的 。 此 时 , 即使 放 开 了 接口 所 在 安全 域 到 local 
的 安全 策略 ， 非 管理 口 也 不 能 通过 该 接口 访问 设备 。 非 管理 口 执行 undo service-manage 
enable 命令 后 ， 可 以 开启 接口 的 Telnet、Ping、SSH、SNMP 等 功能 。 


[AntiDDoS] interface GigabitEthernet 2/0/1 
[AntiDDoS-GigabitEthernet2/0/1] undo service-manage enable 
[AntiDDoS-GigabitEthernet2/0/1] ip address 10.1.2.2 24 
[AntiDDoS-GigabitEthemet2/0/1] quit ， 

[AntiDDoS] interface GigabitEthernet 2/0/1.100 
[AntiDDoS-GigabitEthernet2/0/ 1.100] undo service-manage enable 
[AntiDDoS-GigabitEthernet2/0/1.100] ip address 10.1.3.2 24 
[AntiDDoS-GigabitEthernet2/0/1.100] vlan-type dotlq 100 
[AntiDDoS-GigabitEthernet2/0/1.100] quit 

[AntiDDoS] interface GigabitEthernet 3/0/0 
[AntiDDoS-GigabitEthernet3/0/0] undo service-manage enable 
[AntiDDoS-GigabitEthernet3/0/0] ip address 10.1.6.1 24 
[AntiDDoS-GigabitEthermnet3/0/0] quit 


@ 加 入 安全 区 域 。 如 果 接口 不 加 入 安全 区 域 ， 会 导致 业务 不 通 。 

[AntiDDoS] firewallzone trust “一 一 

[AntiDDoS-zone-trust] add interface GigabitEthernet2/0/1 

[AntiDDoS-zone-trust] add interface GigabitEthernet 2/0/1.100 

[AntiDDoS-zone-trust] add interface GigabitEthernet 3/0/0 

[AntiDDoS-zone-trust] quit 

步骤 5 打开 域 间 缺 省 包 过 滤 。 

在 缺 省 情况 下 ， 清 洗 设备 的 各 域 间 安全 策略 是 禁止 通过 的 ， 我 们 需要 将 域 间 包 过 渡 
配置 为 允许 ， 报 文才 能 正常 通过 清洗 设备 。 我 们 可 不 为 清洗 设备 配置 严格 的 安全 策略 ， 
把 所 有 安全 策略 打开 即 可 。 


[AntiDDoS] security-policy 
[AntiDDoS-policy-security] default acton Pt 
[AntiDDoS-policy- security] quit ， 


步骤 6 配置 SNMP 功能 。 

同时 在 清洗 设备 和 ATIC 上 配置 SNMP 功能 ,并 保证 配置 参数 一 致 ， ATIC 便 可 以 获 
取 清 洗 设 备 的 状态 信息 。 

@ 配置 ACL。ACL 仅 允 许 ATIC 通过 SNMP 访问 清洗 设备 。 


[AntiDDoS] acl 2998 
[AntiDDoS-acl-basic-2998] rule permit s souree 10.1.6.2 0 description for snmp access 
[AntiDDOS-aclbasic-2998Tqait 


@ 将 ACL 与 SNMP 绑 定 。 
[AntiDDoS] snmp-agent acl 2998 


@ 配置 SNMP v3 功能 。SNMPv3 方式 安全 性 最 高 ， 推荐 使 用 这 种 方式 。 


[AntiDDoS] snmp-agent sys-info version v3 

[AntiDDoS] snmp-agent group v3 atic privacy acl 2998 
[AntiDDoS] snmp-agent usm-user v3 atic 

[AntiDDoS] snmp-agent usm-user v3 atic group atic 

[AntiDDoS] snmp-agent usm-user v3 atic authentication-mode sha 
Please configure the authentication password (8-64) 

Enter Password: 


第 7 篇 实战 181 


Confirm Password: 
9 [AntiDDoS] Snmp- agent usm- USeT v3 atic pea Mone aes128 ， 
~ Please configure t the privacy We (8- 64) 0 
Enter Password: 
_Confirm Password: 


步骤 7 配置 清洗 口 。 

清洗 口 一 般 是 指 待 清洗 流量 进入 清洗 设备 的 接口 。 在 旁 路 部 署 的 场景 中 ， 清 洗 口 是 
引流 流量 的 入 口 。 从 这 个 接口 进入 清洗 设备 的 流量 ， 要 经 过 检测 模块 和 清洗 模块 ， 所 以 
我 们 需要 在 接口 上 指定 接口 类 型 并 配置 流量 统计 功能 

Q 指定 接口 类 型 为 清洗 口 。 

清洗 设备 指定 清洗 口 以 后 ， 从 清 洗 口 进来 的 报 文才 ee 


和 [AntiDDoS] interface GigabitEthernet 2/0/1 
[AntiDDoS-GigabitEthernet2/0/1] anti-ddos clean enable 


@ 配置 接口 流量 统计 功能 

流量 统计 功能 是 清洗 设备 对 流量 进行 清洗 的 前 提 条 件 ， 清洗 口 的 流量 统计 功能 一 定 
要 被 开启 ， 否 则 清洗 功能 不 生效 。 在 缺 省 情况 下 ， 波 口 流 训 令吉 处 于 关闭 状态 。 
[AntiDDoS- GigabitEthernet2/0/1] anti-ddos flow- statistic enable ， ~ ， 

[AntiDDoS-GigabitEthemet2/0/1] quit 

步骤 8 在 清洗 设备 上 ， 配置 动态 生成 路 由 时 使 用 的 下 一 跳 地 址 。 

下 一 跳 地 址 配置 是 与 清洗 设备 回 注 接口 直 连 的 Router 1 接口 GE1/0/1.100。 当 
设备 检测 到 某 个 IP 地 址 被 攻击 时 ， 向 ATIC 通告 攻击 日 志 。ATIC 收 到 攻击 日 志 后 ， 
向 清洗 设备 自动 下 发 一 条 引流 命令 , 这 条 引流 命令 和 下 面 配置 的 下 一 跳 地 址 命令 相 结合 ， 合 ， 
会 在 清洗 设备 上 生成 一 条 32 位 UNR 引流 路 由 。 这 条 引流 路 由 会 通过 BGP 发 布 到 对 端 
Router 1 上。 

和 a ld i a Ne 


<AntiDDoS> system-view 
[AntiDDoS] firewall ddos bgp-next- -hop 10. 1 


步骤 9 对 生成 的 32 位 主机 ，UNR 路 由 进行 FIB 过 注 、 

清洗 设备 上 生成 UNR 路 由 ， 并 将 其 发 布 到 对 端 路 由 器 ， 实 现 引流 ， 它 还 有 回 注 的 
功能 。 如 果 不 进 行 限制 ， 由 于 UNR 路 由 的 优先 级 较 高 ， 当 流量 被 引流 到 清洗 设备 上 ， 
完成 清洗 后 ， 该 流量 可 以 通过 清洗 设备 的 这 条 UNR 路 由 ， 再 被 送 回 到 Router 1 的 接口 
GE1/0/2 中 。 但 是 在 很 多 场景 中 ， 回 注 链 路 比较 多 ， 流 量 不 能 只 依赖 UNR 路 由 进行 单 链 
路 回 注 ， 所 以 为 了 不 让 UNR 路 由 影响 回 注 ， 我 们 可 设置 让 这 条 UNR 路 由 不 被 下 发 到 清 
洗 设 备 的 FIB 表 上 ， 这 样 就 不 会 影响 回 注 。 

本 例 使 用 的 是 MPLS LSP 回 注 ， 所 以 我 们 要 设置 过 滤 掉 这 条 UNR 路 由 ， 不 让 
其 下 发 到 FIB 表 。 本 

[AntiDDoS] firewall ddos bgp-next-hop fib-filter 、 ， 

步骤 10 在 清洗 设备 上 配置 BGP 功能 及 团体 属性 。 

清洗 设备 和 Router 1 之 间 建 立 BGP 关系 ，Router 1 为 引流 路 由 器 。 当 清洗 设备 生成 
UNR 引流 路 由 时 ， 会 通过 BGP 将 其 发 布 给 Router 1， 实 现 引流 功能 ， 同 时 配置 BGP 团 
体 属 性 ， 不 向 其 他 对 等 体 发 布匹 配 的 路 由 。 


[AntiDDoS] route-policy 1 permitnodel 
[AntiDDoS-route -policy] apply community near 
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[AntiDDoS-route-policy] quit 

[AntiDDoS] bgp 100 

[AntiDDoS-bgp] peer 10.1.2.1 as-number 100 
[AntiDDoS-bgp] import-route unr 

[AntiDDoS-bgp] ipv4-family unicast 
[AntiDDoS-bgp-af-ipv4] peer 10.1.2.1 route-policy 1 export 
[AntiDDoS-bgp-af-ipv4] peer 10.1.2.1 advertise-community 
[AntiDDoS-bgp-af-ipv4] quit 

[AntiDDoS-bgp] quit 


完成 上 述 配 置 后 , 清洗 设备 上 生成 的 UNR 路 由 会 被 引入 到 BGP 中 , 并 通过 BGP 
被 发 布 到 Router 1。 这 样 ， 当 Router 1 收 到 目的 地 址 为 1.1.1.1/32 的 流量 时 , 通过 查 
路 由 表 ， 并 根据 最 长 掩 码 匹 配 原则 ， 其 会 优先 将 流量 从 接口 GE1/0/1 转发 至 清洗 
设备 。 

步骤 11 配置 清洗 设备 的 loopback 地 址 ， 该 地 址 被 用 于 配置 MPLS。 


[AntiDDoS] interface loopback 1 

[AntiDDoS-LoopBackl1]ip address 2.2.2.2 32 

[AntiDDoS-LoopBack1] quit 

步骤 12 在 清洗 设备 上 配置 MPLS 功能 ， 实 现 回 注 功能 。 

在 清洗 设备 和 Router 2 之 间 建 立 MPLS。 回 注 的 宗旨 一 方面 是 要 把 清洗 后 的 流量 回 
注 到 原 链 路 中 ， 然 后 将 其 送 给 防护 对 象 ， 另 一 方面 ， 就 是 要 避 开 引流 路 由 ， 防 止 路 由 环 
路 发 生 。MPLS LSP 回 注 可 以 直接 避 开 引流 路 由 ， 将 回 注 流量 直接 送 到 下 行 学 习 不 到 引 
流 路 由 的 路 由 器 中 ， 避 免 了 路 由 环 路 问题 的 产生 。 

@ 配置 MPLS 基本 功能 。 


[AntiDDoS] mpls lsr-id 2.2.2.2 

[AntiDDoS] mpls 

[AntiDDoS-mpls] quit 

[AntiDDoS] mpls 1dp 

[AntiDDoS-ldp] quit 

[AntiDDoS] interface GigabitEthernet 2/0/1.100 
[AntiDDoS-GigabitEthernet2/0/1.100] mpls 
[AntiDDoS-GigabitEthernet2/0/1.100] mpls ldp 
[AntiDDoS-GigabitEthernet2/0/1.100]quit 


@) 配置 LSP 的 触发 建立 策略 。 








配置 lsp-trigger 时 ， 请 根据 实际 需 需 要 建立 隧道 的 IP 可 配置 。 


[AntiDDoS] mpls “一 一 一 一 
[AntiDDoS-mpls] lsp-trigger al 
[AntiDDoS-mpls] quit 


步骤 13 配置 OSPF， 通 告 各 接口 所 连 网 段 的 他 地址 和 LSR ID 主机 路 由 。 
[AntiDDoS] ospf 1 ， 

[AntiDDoS-ospf- 1l]area0 | 。 

[AntiDDoS-osp 他 1-area-0.0.0. 0] network 10. 1.34 0 0.0. 0255 

[AntiDDoS-ospf-1-area-0.0.0.0] network 2.2.2.2 0. 0.0.0 

[AntiDDoS-ospf-1-area-0.0.0.0] quit 

[AntiDDoS-ospf-1] quit 


步骤 14 保存 配置 ， 要 随时 保存 配置 ， 以 免 于 失 。 


<AntiDDoS> save 


不 同 
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3. Router 1 配置 过 程 
下 面 以 华为 路 由 器 NE80E 为 例 ， 介 绍 Router 1 的 BGP 和 MPLS 的 配置 过 程 。 
版 本 的 路 由 器 的 配置 也 不 同 ， 请 根据 实际 路 由 器 版 本 进行 配置 ， 以 下 配置 仅 供 





参考 。 


和 ， [Routerl] interface loopback 1 
[Routerl -LoopBackl] ip address s. 5. .5.5 2 
| [Routerl -LoopBackllauit 


[Routerl] mpls lsr-id 55, ss 


[Routerl] mplsldp 


[Routerl] interface Gigabitgthernet UOLI00 
[Router1-GigabitEthernetl/0/1， 1l00]mpls ， 
。 [Routerl -GigabitEthernet1/0/1. .100] mpls lap 
oo [Routerl-GigabitBthemetl/0/1. 100] quit 
[Routerl] interface GigabitEthernet 1/0/3 
~ [Routerl-GigabitEthemet1/0/3] mpls “ 
~ [Routerl -GigabitEthernet1/0/3] mpls Wo 


[Routerl] ospf 1 


[Routerl -ospf- 1-area-0. 0. 0 ql network 10.1.3. 00. 0. 0. 0.255 
[Routerl -Ospf-1-area-0.0.0. .0] network 10.1. 5.0 0.0.0. 255 


RR 
| [Routerl-bgp] peer 10. 1.2.2 as-numbe 100 


步骤 1 配置 Router 1 接口 的 全 地 址 。 
步骤 2 配置 Router1 a BGP 功能 。 
















[Routerl -bgp] quit 


步骤 3 配置 Ra 1 的 loopback rr i | 





步骤 4 配置 MPLS。 
配置 MPLS 基本 功能 。 


[Routerl] mpls 
[Routerl-mpls] quit 


[Routerl- ldp] auit 





[Router1-GigabitEthernetI/0/3] quit 


步骤 $ 配置 OSPF, 通告 各 接口 所 过 网 段 的 | 正 地 址 和 LSR ID D 主机 路 由。 


[Routerl-ospf-1] area 0 





[Routerl-ospf-1-area-0.0.0.0] network 5.5.5.50.0.00 


. [Routerl-ospf- 1-area-0. 0. 0. .0] quit | 





[Routerl-ospf-1] quit 
4. Router 2 配置 过 程 


下 面 以 华为 路 由 器 NE80E 为 例 ， 介 绍 Router 2 的 MPLS 配置 过 程 。 
步骤 1 配置 Router2 接口 的 IP 地址 。 
步骤 2 配置 Router 2 的 loopback Gl 


[Routerl] interface loopback1 
[Routerl-LoopBack1] ip address 3.3.3. 3 32 和 | 


~ [Routerl-LoopBackl] quit 


步骤 3 配置 MPLS。 
G@ 配置 MPLS 的 基本 功能 。 


[Router2] mpls lsr-id 3. 333 
[Router2] mpls 、 
[Router2-mpls] quit 
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| 步 又 3 Router? 发 送 i ,日 志 给 威 害 设 备 ， 路 由 器 上 的 Nettlow one 
如 下 % 
Q@ 配置 采样 比 ， 需 要 


[Router2] 刘 netstream sampler fix-packets 1000 inbound ， 
© 配置 NetStream 输出 报 文 的 源 地 址 。 
[Router2] ip netstream export source "0 ， 0 
@) 配置 NetStream 输出 的 目 的 地 址 和 端口 总 有 人 地址。 
由 区 本 oo J 
@ 配置 原 始 流 TCP-flag 的 统计 功能 能 。 
3 Ti We tream tcp-flag enanle | . | ， 0 
© 配置 NetStream 的 老化 时 间 。 
、 [Router?] ip netstream timeout We 1 ， 
@ 指定 接口 板 所 在 的 NetStream 板 为 8 gl 13 NE40E 接 口 Er NS i 量 采集 
功能 ， 无 需 购买 专门 的 业务 板 。 


IRouter2] slot 1 








| ee a ~、 0 
® 接 口 板 下 对 入 方向 的 流量 开局 流量 采集 功能 能 。 


] interface GigabitEthernet1/0/1 






0 igabitEthemet1/0/1] i ip netstream inbound ， 
5 一 威 寄 设备 配置 一 一 

步骤 1 登录 威 豁 设备 。 

@ 第 一 次 使 用 威 豁 服务 器 时 使 用 串口 登录 并 进行 基本 配置 , PC 上 串口 的 设置 为 《9 
针 串 口 线 )。 

Rate: 9600 bit/s 

Data bits: 8 

Parity: None 

Stop bits: 1 

@ 登录 GenieATM， 默 认 用 户 名 及 密码 均 为 “genie”。 
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@ 进入 Enable 模式 。 





”Enable 模式 默认 密码 为 “default>。 
@ 进入 配置 模式 。 
， ATM# configure terminal 
步骤 2 配置 服务 器 IP 地 址 和 路 由 。 
GenieATM 拥有 Ethernet0 和 Ethernetl 两 个 以 太 电 接口 。 路 由 可 达 的 情况 下 ， 服 务 
器 访问 和 流量 采集 可 以 共用 一 个 端口 。 如 果 采 用 两 个 不 同 网 口 ， 有 一 个 值得 注意 的 地 方 
人 能 设 定 在 E0 口上 ， 另 外 一 个 口 的 路 由 需要 手工 静态 设 定 。 


ATM (config)# interface Ethernet 0 









， ss 
ATM (config-if)# 
步骤 3 配置 jog 服务 器 。 
配置 log 服务 器 ， 使 GenieATM 可 以 成 功 发 送 攻击 日 志 到 ATIC 服务 器 。 此 配置 为 

AntiDDoS 与 GenieAIM 的 关键 配置 。 





， eariate MATIC 服务 器 地 址 
步骤 4 保存 配置 并 重启 服务 器 。 
@ 保存 配置 。 


ee 
@ 重启 GenieATM。 

ATM# reload now 。 0 
6. 配置 Genie 党 理 服 关 要 


步骤 1 登录 Genie 管理 服务 器 。 
步骤 2 添加 流量 采集 设备 ， 如 图 7-15 所 示 。 








System Admin > Network > Royter 





Auto Learning Interfaces: Disabled 















































































































































图 7-15 添加 流量 的 采集 设备 
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步骤 3 点击“ 新 增 ”。 添 加 流量 采集 路 由 器 的 SNMP IP 地 址 、 读 团体 字符 串 、 
SNMP 版 本 号 ; 填写 Flow 输出 设备 的 卫 地 址 和 端口 号 , 即 流量 采集 路 由 器 输出 Netflow 
接口 的 地 址 和 端口 号 ， 采 样 率 需要 与 路 由 器 的 相同 ， 如 图 7-16 所 示 。 


Basic Informaticn 






she Version: WN] swewax >> | 
SNMPWALK Information 
Name; Router56 
oopet 135141201.2.522.8 


sysDescr; Huawei Versatile Routing Platform Software VRP (R) software, Version 
Se (NE40E&S80E V600RO0GCOOSPC200) Copyright (C) 2000-2012 .. 


Contact: R&D Beijing, Huawei Technoiogies covLtd. 
Location; Beijing China 
Total Memory: MBytes 


the Sampling Rate carried in flows 


3 Adon = 
ee pm re ts 99 《at least 1 to 32768) 


Flow Relay 


Flow Relay Port member 3 (1 te 65534) \ 
Flow Relay Sampling Rate: 1 {Eto 1024) 


~ Spoof source IP by 


图 7-16 流量 采集 路 由 器 的 配置 参数 
步骤 4 “系统 管理 ”>“ 网 络 > 本 域 网 络 ” 自 定 义 监控 的 目的 IP 地址， 如 图 7-17 
所 示 。 


System Admin > Network > Home Network 





IP Address 
IPv4 


me A Input Sample: 

permit 1.1.1.0/24 站 和 
1.1.0.0/16 
d 1:1,100.0/24 
p 2.2.0.0/16 
permit 3.3.0.0/ 16 
deny 3.3.200.0/24 
permit 10.10.10.0-10.10.50.0 
deny 10.10.10.0-10.10.10.128 





图 7-17 自 定义 监控 的 目的 I 了 P 地址 


点 击 “ 编 辑 ” 添加 监控 的 卫 地 址 。 
步骤 5$ 威 窒 服 务 器 预定 义 异 常 流 量 的 攻击 ， 如 图 7-18 所 示 。 
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cimse Anomoiy Monageerent 


Default for Home and liser-defined Resoorces 





Severity Latency: 3 min, Recovery Latency: 3 min. 





Disatied 1 Sops 
1 Si20019 Protocol- Miscse Anomaly -Host Total Traffic 

Disabied pps 

Enabied Gbpe 
2 $129009 Protocnl-Wieuse Anomaly. UDP Niocdne 

Disabied ps 

Daseled pe 
3 S120008 srotoooh Misuse Anomaly TCP RST Foodro 

Enaties ww eps 

Disabled bps 

5220097 Setooet msuse romely Land Amace 

Enatied 2 eps 

Disabled bos 
3 $120006 rotocel- Wsvse Anomaly ICMP Mause 

Enatied 过 ropes 

Disabled bpe 
下 S120005 protocot- Mavse Anomaly UDP Fragment 

Enabled 0 ops 

Disabled bos 
7 S120004 Protocol-Misuse Anomaly.TCP Fragment 

Enabled s Kpps 


图 7-18 ”预定 义 异常 流量 的 攻击 


点 击 “ 编 辑 ” 按 钮 可 以 修改 预定 义 攻击 的 状态 、 阐 值 和 单位 。 
步骤 6 威 寄 服 务 器 自 定义 异常 流量 的 攻击 ， 如 图 7-19 所 示 。 


Status 


System Admin > Network > Anomaly 





Anomaly Update 
Sh Check For Updates: No New Anomalies Update Is Available At The Moment 





Application Anormaly Management 


Detection Scope: Home 


5120260 





Application Anomaly. MS Blaster 


La ‘2. 5120259 Application Anomaly.Sasser 基 
Lf 3 5120258 ~ Application Anomaly.Code Red 2 
La 4 S120257 Application Anomaly.SQL Siammer 所 


Er 
7-19” 自 定义 异常 流量 的 攻击 


步骤 7 点 击 “ 新 增 ”， 增 加 自 定义 攻击 类 型 ， 如 图 7-20 所 示 。 





MD: 5120356 
*Application Name:Channel Name: Application Anomaly : SYN 2CY ood 
“Application Mo.:Channel No.; 20001 : 100 
ratatws; [Enobied ee 
Remarks: 
Attack Type: OO 


Characteristics 
Number of Packets Per Flow: 


Number of Bytes per flow 站 - 
Number of Bytes per Packet: 


ICMP Message Type: Code: 


Source IP for Incoming Traffic Destination IP for Outgoing Traffic 














CT |] 0 Bevery te CT 


图 7-20” 自 定义 攻击 类 型 
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步骤 8 选择 “系统 管理 > 配置 "， 输 入 描述 后 ， 点 击 “ 分 派 网 络 配 置 并 储存 ”， 这 
样 配 置 变 更 才 会 生效 ， 如 图 7-21 所 示 。 


systenm Admin > Configuration 




















图 7-21 分 派 网 络 配置 并 储存 
步骤 9 选择 “状态 > 异常 流量 监控 ”查看 攻击 异常 状态 ， 如 图 7-22 所 示 。 





Template Al Aromaiea n 3 don] Savn as Naw Tempinte 








iain 2 Rasource Type: AT ” 训 ratfic bean (Boh Ha] 
Ba “a wa i hy mimi 
加 AL sar me BN WN BE :0 Mehmet (TT 
Time pericds 上 MN unuk B= WM EE Ws a 

四 < bps ed Vicim/Infeced tp: 



























protocol-Miause i 
a 07-24 esz8 J 四 
B23.35 pps 4 3 
totel 186,79 Kpeckats 
Sed 
398.81 Kbps 07-24 18:21 Tt 
入 ‘over 20.00 bps Recovered 0 ?7 min Incoming .TCP SYN Flooding, Home 
K > 4 5344 
max 398.81 Kbpe . 07-24 18:28 多 
ee 
12.68 Kpps 07-24 14:54 Protocol-Misuse Lotobsl} 

3 ls over 20.00 ppe ecovered 外 19 mins Incoming ~ _TCP SYN Piooding Home 
max 12.85 Kpps BW7-24 15:13 S31129 
total $.74 Mpackets 
Rod 

YT | .14 Mbps 07-24 14:54 Protocol-Mipuse {ilobal) 

本 Ga i | over 20.00 bps Recovered 9 mins lncoming TCP SYN Flooding Home 

max .24 Mbps 07-24 35 .2 
24 15:19 bps ® 
+total 50392 Mbytes 下 


图 7-22 查看 攻击 异常 状态 


7.2 ”小 型 数据 中 心 防护 


数据 中 心 是 网 络 基础 资源 的 一 部 分 ， 为 互联 网 内 容 提供 商 、 企 业 、 媒 体 和 各 类 网 站 
提供 大 规模 、 高 质量 、 安 全 可 靠 的 数据 传输 服务 和 高 速 接 入 服务 。 小 型 、 超 小 型 数据 中 
心 主要 是 接 入 层 机 房 ， 比 如 银行 、 证 券 的 网 点 机 房 ， 政 府 各 部 门 服务 窗口 等 。 图 7-23 所 
示 的 网 络 相 对 简单 ， 业 务 也 比较 固定 ， 防 护 目标 也 很 明确 。 近 年 来 ， 外 部 互联 网 对 数据 
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中 心 发 起 的 DDoS 攻击 越 来 越 多 ， 其 中 包括 重要 用 户 服务 器 遭受 攻击 ， 数 据 中 心 链 路 带 
宽 被 占用 ， 视 频 、 游 戏 、 网 游 等 业务 遭受 到 应 用 层 攻击 等 。 








- Web 服务 器 Web 服务 器 
图 7-23 ”小 型 数据 中 心 组 网 


为 了 保障 数据 中 心 业务 服务 器 的 网 络 免 受 DDoS 攻击 ， 保 证 正常 业务 不 间断 ， 工 程 
师 规划 网 络 时 应 从 以 下 几 个 方面 考虑 。 | 
7.2.1 规划 思路 

1. 设备 选择 

数据 中 心 有 存 储 各 种 重要 业务 信息 的 服务 器 ， 这 些 服务 器 承载 了 现 网 中 的 各 种 业 
务 ， 服 务 器 一 旦 受到 攻击 ， 会 直接 导致 部 分 网 络 竣 痪 ， 影 响 正常 业务 的 运行 。 所 以 数据 
中 心 的 检测 和 清洗 精准 度 非常 重要 。 华 为 AntiDDoS8000 设备 采用 的 是 逐 包 检测 技术 。 
相 比 于 逐 流 检测 , 逐 包 检测 更 精细 , 工程 师 也 可 同时 为 不 同 的 业务 配置 差异 化 防御 策略 。 
逐 包 检 测 的 防御 更 精准 ， 推 荐 使 用 。 

2. 部 署 方式 

旁 路 部 署 方式 不 改变 原 有 网 络 的 拓扑 结构 ， 同 时 还 可 以 保证 链 路 的 可 靠 性 。 

除了 “检测 + 清洗 ”联动 旁 路 部 署 的 方式 外 ，AntiDDoS8000 设备 还 支持 混 插 模式 。 
混 插 模式 是 一 台 AntiDDoS8000 设备 同时 插 检 测 业 务 板 和 清洗 业务 板 ， 该 方式 集成 “ 检 
测 设备 ”和 “清洗 设备 ” 效果 上 和 “检测 + 清洗 ”联动 是 一 样 的 ， 也 是 检测 模块 和 清洗 
模块 分 离 ， 支 持 实 时 检测 和 动态 清洗 。 
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从 商务 成 本 方面 考虑 ，AntiDDoS8000 设备 的 混 择 模 式 的 成 本 低 于 同时 部 署 1 台 
AntiDDoS8000 检测 设备 和 1 台 AntiDDoS8000 清洗 设备 的 成 本 , 用 户 购买 一 台 机 柜 即 可 
混 插 不 同类 型 的 业务 板 。 

3. 流量 引导 方式 

数据 中 心 组 网 不 会 很 复杂 ， 回 注 链 路 也 不 会 太 多 ， 建 议 采 用 BGP 旁 路 引流 + 策略 路 
由 回 注 方式 引导 流量 。BGP 引流 可 以 实现 动态 引流 ， 策 略 路 由 回 注 配 置 简单 。 

Anti-DDoS 设备 既 支 持 静 态 引 流 ， 也 支持 动态 引流 。 静 态 引 流 清洗 是 指 不 管 是 否 发 
生 攻 击 ，Anti-DDoS 设备 都 将 所 有 流量 引导 到 清洗 设备 中 ， 再 由 清洗 设备 转发 流量 。 当 
发 生 攻 击 时 ， 清 洗 过 程 会 非常 消耗 清洗 设备 的 性 能 。 一 且 清 洗 设备 性 能 达到 瓶颈 状态 ， 
就 会 影响 流量 的 转发 。 如 果 此 时 Anti-DDoS 设备 还 需要 转发 其 他 用 户 的 流量 ， 只 要 设备 
性 能 稍 有 问题 ， 没 有 遭受 攻击 的 用 户 业 务 也 会 受 影响 。 相 比 于 静态 引流 方式 ,- 动态 引流 
可 靠 性 更 高 。 使 用 动态 引流 ， 没 有 发 生 攻 击 时 ， 流 量 并 不 会 经 过 清洗 设备 ， 只 有 攻击 发 
生 后 ， 清 洗 设 备 才 会 将 去 往 被 攻击 用 户 的 流量 引流 到 设备 上 进行 清洗 ， 其 他 未 受到 攻击 
的 用 户 的 流量 不 会 被 引流 ， 也 不 经 过 清洗 设备 。 因 此 ， 即 使 清洗 设备 流量 很 大 也 不 会 影 
响 其 他 用 户 。 

4.， 业务 子 卡 规划 

AntiDDoS8000 是 分 布 式 设备 ， 设 备 是 检测 设备 还 是 清洗 设备 取决 于 业务 子 卡 的 类 
型 。 在 缺 省 情况 下 ，AntiDDoS8000 业务 板 的 子 卡 不 具有 检测 或 清洗 功能 ， 用 户 需 要 通 
过 命令 指定 某 槽 位 业务 子 卡 的 功能 是 检测 功能 或 者 清洗 功能 。 

5. License 控制 

AntiDDoS8000 业务 板 的 子 卡 同时 也 受 License 控制 ,命令 制订 后 ， 要 加 载 相 匹配 的 
License， 才 能 生效 。AntiDDoS8000 的 检测 和 清洗 License 控制 项 见 表 7-3。 









表 7-3 AntipDoS8000 的 检测 和 清洗 License 控制 项 
”资源 大 ”省 配 的 对 | 能 
检测 子 卡 -20 激活 License 后 ， 检 测 功能 可 用 
检测 子 卡 -40 激活 License 后 ， 检 测 功能 可 用 
检测 子 卡 -80 激活 License 后 ， 检 测 功 能 可 用 
清洗 子 卡 -20 激活 License 后 ， 清 洗 功 能 可 用 
清洗 子 卡 -40 激活 License 后 ， 清 洗 功能 可 用 
清洗 子 卡 -80 激活 License 后 ， 清 洗 功能 可 用 















AntiDDoS8000 支持 使 用 主 控 板 ESN 和 背 板 ESN 申请 License。 主 控 板 的 ESN 可 以 
通过 命令 display esn 查询 , 背 板 的 ESN 可 以 通过 命令 display esn all 查询 , 显示 的 BackPlane 
为 背 板 的 ESN, 也 可 以 通过 命令 display license esn 查询 。 推荐 使 用 背 板 ESN 申请 License。 
因为 主 控 板 故障 率 比 背 板 高 ， 更换 以 后 需要 重新 申请 License， 双 主 控 情 况 下 需要 使 用 两 
个 ESN， 任 何 一 个 主 控 板 故障 都 要 更 换 license。 

在 双 主 控 情 况 下 ，AntiDDoS8000 设备 必须 同时 提供 主 备 主 控 板 的 ESN。 假 如 只 使 用 主 
用 主 控 板 的 ESN 申请 并 激活 License 文件 ， 需 要 重新 使 用 主 用 主 控 板 和 备用 主 控 板 的 ESN 
去 申请 License 文件 , 取消 已 经 激活 的 License 文件 , 再 激活 新 的 License 文件 即 可 正常 使 用 。 
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6、 接 口 规划 

工程 师 规划 混 插 设备 时 需要 规划 一 个 检测 口 、 一 个 清洗 口 (引流 口 )、 一 个 回 注 口 、 
一 个 与 ATIC 通信 的 管理 口 和 一 个 日 志 口 。 其 中 ， 引 流 口 和 回 注 口 可 以 是 两 个 不 同 的 主 
接口 ， 也 可 以 是 一 个 主 接口 下 的 两 个 子 接口 。 

管理 口 和 日 志 口 可 以 是 同一 个 接口 ， 也 可 以 是 不 同 的 接口 。 主 控 板 接口 
GigabitEthernet0/0/0 可 以 作为 与 ATIC 通信 的 管理 接口 ， 但 不 能 作为 向 ATIC 发 送 日 志 
接口 。 如 果 管 理 口 和 日 志 口 用 同一 个 接口 的 话 ， 就 不 能 用 GigabitEthernet0/0/0。 

ATIC 服务 器 只 有 GE 接口 ， 建 议 在 接口 板 预 留 1 个 GE 接口 与 ATIC 互 连 。 如 果 
AntiDDoS8000 设备 上 只 有 10GE 接口 ， 也 可 以 使 用 中 间 网 络 设备 进行 GE 接口 与 10GE 
接口 的 转换 。 | 

7. 防御 策略 

首先 明确 设备 要 防护 的 目标 了 人’, 针对 目标 建立 防护 对 象 , 然后 配置 相应 的 防护 策略 。 
对 于 其 他 不 明确 的 目标 ， 配 置 默认 防护 对 象 的 防御 策略 来 对 其 进行 防御 。 

例如 : IDC 网 络 中 有 3 台 Web 服务 器 、2 台 DNS 服务 器 、5 台 游 戏 服务 器 ， 工 程 师 应 
为 不 同 的 服务 器 配置 不 同 的 防御 策略 ， 为 Web 服务 器 重点 配置 HTTP 类 的 防御 策略 ， 为 DNS 
服务 器 重点 配置 DNS 类 的 防御 策略 ， 为 游戏 服务 器 重点 配置 UDP/TCP 类 的 防御 策略 等 。 

如 果 我 们 为 每 一 个 服务 器 建立 一 个 防护 对 象 ， 则 我 们 需要 建立 10 个 防护 对 象 ， 配 
置 起 来 比较 麻烦 。 如 果 同 一 类 型 的 服务 器 业务 基本 相同 ， 则 可 以 只 配置 三 个 防护 对 象 ， 
即 针对 Web 服务 器 、DNS 服务 器 和 游戏 服务 器 的 3 个 防护 对 象 ， 然 后 ， 在 每 一 个 防护 
对 象 中 把 多 个 服务 器 PP 地 址 添加 进来 〈 每 个 防护 对 象 可 以 配置 多 个 人 P 或 者 网 段 )， 再 配 
置 相应 的 防御 策略 ， 这 样 每 一 类 服务 器 只 需要 配置 一 次 策略 即 可 。 

配置 完成 后 ， 完 成 了 对 重点 目标 的 防护 ， 也 可 以 对 IDC 中 其 他 的 网 络 资源 使 用 默认 
防护 对 象 的 防御 策略 进行 防御 。 

8， 安 全 策略 规划 | 

在 缺 省 情况 下 , AntiDDoS8000 设备 上 的 安全 策略 是 关闭 的 , 但 我 们 可 以 打开 缺 省 包 过滤 。 

9. ATIC 

ATIC 由 管理 中 心服 务 器 和 采集 器 两 部 分 组 成 ， 并 有 两 种 部 署 方式 。 

Q@ 集中 式 部 署 : ATIC 服务 器 和 采集 器 同时 安装 在 同一 台 物 理 服务 器 上 。 

@ 分 布 式 部 署 : ATIC 服务 器 和 采集 器 分 别 安装 在 不 同 的 物理 服务 器 上 ， 多 人 台 采集 器 可 
以 共用 一 台 ATIC 服务 器 ， 一 台 ATIC 服务 器 最 多 可 管理 20 台 采 集 器 。 

一 台 采 集 器 可 以 处 理 大 约 30 万 个 IP 地 址 的 Anti-DDoS 业务 日 志 ， 可 以 根据 防护 对 
象 的 瑟 地 址 个 数 来 选择 ATIC 部 署 方式 。 设 备 旁 路 部 署 时 ， 如 果 多 台 设 备 部 署 地 比较 分 
散 ， 仍 然 建议 配置 多 台 采 集 器 。 

本 场景 的 小 型 数据 中 心 一 般 采 用 ATIC 集中 式 部 署 。 





10. 路 由 规划 
混 揪 设备 、ATIC 管理 中 心 、 路 由 器 三 者 之 间 要 路 由 可 达 。 
7.2.2 ”典型 组 网 


如 图 7-24 所 示 , 混 插 设备 旁 路 部 署 在 核心 路 由 器 上 。 分 光 器 与 混 插 设备 的 检测 口 相 
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连 ， 现 网 流量 通过 分 光 器 复制 到 混 播 设备 进行 实时 检测 。 混 插 设 备 对 到 达 防 护 对 象 〈 内 
网 服务 器 ) 的 流量 进行 检测 和 清洗 , 当 出 现 攻击 时 , 将 到 达 防 护 对 象 的 下 行 流量 通过 BGP 
引流 方式 实时 牵引 至 清洗 设备 进行 检测 和 清洗 ， 清 洗 完 成 后 ， 再 将 正常 流量 通过 策略 路 
由 方式 回 注 到 原 链 路 Router 上 ， 最 终 将 流量 送 到 防护 对 象 中 。 


正常 网 络 








交换 机 ATIC 管理 中 心 














bZ 
本 


-一 一 全 攻击 流量 
Fe 分 光 流 量 
Web 服务 器 Web 服 务 器 。 ... > 管理 流量 
图 7-24 混 插 设备 旁 路 部 组 网 
7.2.3 ”数据 规划 
混 插 设备 、ATIC 和 路 由 器 的 IP 地 址 规划 如 表 7-4 和 图 7-25 所 示 。 


表 7-4 JP 地 址 规划 表 


上 清洗 口 
10.1.2.2/24 | 即 引 流 流量 入 接口 ,清洗 设备 对 从 该 口 进入 的 流量 应 用 


各 种 防御 策略 ， 对 流量 进行 分 析 和 清洗 
国史 










x 
i 




















回 注 口 。 

清洗 后 的 正常 流量 通过 此 接口 回 注 到 原 链 路 
与 管理 中 心 的 通信 口 。 

清洗 设备 将 日 志 报 文 / 抓 包 报 文 发 送 至 管理 中 心中 的 
Anti-DDoS 采集 器 , 供 Anti-DDoS 采集 器 分 析 以 及 进行 
后 续 处 理 。 

此 接口 PP 地 址 与 管理 中 心 卫 地 址 必须 路 由 可 达 , 本 例 
中 ， 此 接口 PP 地 址 与 管理 中 心 IP 地 址 在 同一 网 段 





混 插 设备 
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( 续 表 ) 










a 与 检测 设备 、 清 沈 设 备 路 由 可 这 
引流 通道 
路 由 器 问 注 通道 

与 防火 二 过 


ATIC 管理 中 心 


正常 网 络 


交换 机 .ATIC 管理 中 心 
防护 对 象 Web Zone 
em 攻击 目标 “一 一 一 正常 流量 
一 一 一 > 攻击 流量 





Web 服务 器 Web 服务 器 
图 7-25 IP 地 址 规划 
路 由 器 的 接口 GE1/0/1 与 清洗 设备 的 接口 GE2/0/1 之 间 的 通道 为 引流 通道 。 路 由 器 
的 接口 GE1/0/2 与 清洗 设备 的 接口 GE2/0/2 之 间 的 通道 为 回 注 通道 。 


7.2.4 配置 思路 


1. 混 插 设备 上 的 功能 配置 

GD 加 载 License。 

@ 指定 业务 子 卡 的 类 型 。 

@ 配置 接口 PP 地址， 接口 加 入 安全 区 域 ， 并 打开 域 间 缺 省 包 过 滤 。 
由 配置 STelnet 功能 。 

@ 配置 SNMP 功能 ， 使 管理 中 心 可 以 获取 清洗 设备 的 状态 。 

@ 配置 检测 口 和 清洗 口 ， 并 在 检测 口 和 清洗 口 开 启 流 量 统计 功能 。 
@ 配置 引流 和 回 注 功 能 。 

保存 配置 。 

2. ATIC 管理 中 心 的 功能 配置 

@ 第 一 次 登录 管理 中 心 。 
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@ 创建 Anti-DDoS 设备 。 

@) 配置 相应 的 防御 策略 。 

@ 配置 基线 学 习 功能 ， 并 调整 防御 阔 值 。 

@ 保存 配置 。 

另外 , 现 网 中 还 要 完成 对 接 路 由 器 的 相关 配置 , 本 例 给 出 的 路 由 器 的 配置 仅 作 参 考 ， 
现 网 中 请 根据 路 由 器 的 具体 型 号 进行 配置 。 






在 复杂 组 网 的 场景 下 ， 请 避免 以 下 问题 。 
国 在 核心 路 由 器 使 用 策略 路 由 指导 转发 时 , 当 源 认证 报 文 被 清洗 设备 回 注 到 路 由 
器 后 ， 可 能 因为 查询 不 到 路 由 而 被 丢弃 ， 导 致 源 认证 失败 。 

国 如 果 多 个 防护 对 象 有 互 访 关系 , 且 互 访 报 文 会 经 过 核心 路 由 器 时 , 在 多 个 互 访 
对 象 同时 发 生 攻 击 后 ， 可 能 会 出 现 源 认 证 报 文 被 清洗 设备 回 注 到 路 由 器 ， 之 后 ， 又 被 路 
由 器 上 的 引流 路 由 送 回 到 Anti-DDoS 设备 的 情况 。 


7.2.5 ”配置 过 程 


1. 配置 混 插 设备 

步骤 1 加 载 License。 

AntiDDoS8000 设备 的 检测 和 清洗 功能 是 受 License 控制 的 ， 所 以 用 户 在 购买 设备 的 
同时 , 也 要 购买 相应 的 License。License 成 功 加 载 并 激活 是 .AntiDDoS8000 设备 检测 或 清 
洗 功能 可 用 的 前 提 条 件 之 一 。 

License 文件 后 缀 为 “*.dat”，License 文件 可 以 被 重 命名 ， 但 扩展 名 “.dat" 不 能 被 更 
否则 系统 将 无 法 正常 加 载 License 文件 。 

激活 License 后 ， 可 以 通过 命令 display license， 查 看 License 的 信息 。 

<AntiDDoS> system-view 

[AntiDDoS] license active lic_clean 20160530.dat ~ 

步骤 2 指定 业务 板子 卡 使 其 具备 检测 和 清洗 功能 。 

在 缺 省 情况 下 ，AntiDDoS8000 设备 的 业务 子 卡 不 具备 检测 或 清洗 功能 ， 需 要 通过 
命令 指定 。 只 有 与 子 卡 匹配 的 License 处 于 激活 状态 时 ， 在 业务 板 底 板 注 册 成 功 后 ， 

AntiDDoS8000 设备 才 可 以 执行 下 面 的 命令 指定 子 卡 类 型 。 在 子 卡 注册 成 功 后 ， 它 才 可 
以 继续 等 待 其 他 配置 完成 ， 否 则 无 法 进行 后 续 配 置 。 


[AntiDDoS] firewall ddos detect-spu slot4card0 — 


[AntiDDoS] firewall ddos clean-spu slot 4 card 1 


改 





[AntiDDoS] display ddos slot 

Slot ID -CardID CPUNumber Config Register Status 

4 0 7 nh detect Registered detect 
4 1 2 oleon Repistered - clean 








配置 STelnet 功能 是 为 了 实现 ATIC 管理 中 心 对 AntiDDoS8000 设备 的 管理 , 比如 
防御 策略 的 下 发 、 引 流 策略 的 下 发 等 。ATIC 和 AntiDDoS8000 的 参数 配置 要 保持 完 
全 一 致 3 
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[AntiDDoS] user-interface vty04 ， 
[AntiDDoS-ui-vty0-4] authentication-mode aaa 

~ [AntiDDoS-ui-vty0-4] user privilege level3 

| [AntiDDoS-ui-vty0-4] protocol inbound 

~ [AntiDDoS-ui-vty0-4] quit ~ 
1 IAntiDDoSlaaa 

[AntiDDoS-aaa] wwe 

oo ete we Bo 









Conf irm Passworer | 
[AntiDDoS- 0 au 
[AntiDDoS-aaa-manager- -user-atic] level 15 
[AntiDDoS-aaa-manager-user-atic] quit 
[AntiDDoS-aaal quit ， 

~ [AntiDDoS] rsa local-key-pair create 
The key name will be: AntiDDoS _ Host 
The range of public key size is (512 ~ ~2048) 、 
NOTES: A key shorter than 1024 bits may cause securit risks. 












， Input the bits in nude rood 0 
Doo keys.. 





、 [AntiDDoS] stelnet server r enable 

~ [AntiDDoS] ssh user atic 
[AntiDDoS] ssh user atie authentication-type pessword 
[AntiDDoS] ssh user atic service-type stelnet ， 


步骤 4 ”配置 接口 IP 地址， 并 将 各 接口 加 入 相应 的 安全 区 域 。 
(1) 配置 接口 IP 地址 
在 缺 省 情况 下 ，AntiDDoS8000 接口 开启 了 访问 控制 管理 功能 。 管理 接 口 (GE0/0/0) 
下 的 HITP、HTTPS、Ping 权限 都 是 放 开 的 ， 不 需要 配置 任何 安全 策略 ， 就 能 通过 管理 
口 访问 到 设备 。 非 管理 口 〈 包 括 罗 辑 接口 ， 如 VLANIF、VT 接口 、Tunnel 接口 ) 下 的 
Telnet、 Ping、SSH、SNMP 等 权限 都 是 关闭 的 。 此 时 , 即使 放 开 了 接口 所 在 安全 域 到 local 
的 安全 策略 ， 非 管理 接口 也 不 能 通过 该 接口 访问 设备 。 非 管理 接口 执行 undo 
Service-manage enable 命令 后 ， 可 以 开局 吕 Telnet、 Ti SSH、 SNMP 0 
[AntiDDoST interface GigabitEthernet 2/01 
[AntiDDoS-GigabitEthermnet2/0/1] undo AN a 
[AntiDDoS-GigabitEthernet2/0/ 1]ip address 10.1.2.2 
[AntiDDoS-GigabitEthernet2/0/1] quit 
_ [AntiDDoS] interface GigabitEthernet 2/0/ 
[AntiDDoS-GigabitEthernet2/0/2] undo service-manage enable 
[AntiDDoS-GigabitEthernet2/0/2] ip address 10.1.3.224 
[AntiDDoS-GigabitEthernet2/0/2] quit 
[AntiDDoS] ee ea， > 
























[AntiDDos-GigabitBthemet3/0/0] ip address 10.1.6.1 1 2 
_ [AntiDDoS-GigabitEthernet3/0/0] quit ， 


(2) 加 入 安全 区 域 
接口 如 果 不 加 入 安全 区 域 ， 就 会 导致 业务 不 通 。 
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[AntiDDoS] firewall zone trust 

[AntiDDoS-zone-trust] add interface GigabitEthernet 2/0/1 

[AntiDDoS-zone-trust] add interface GigabitEthernet 2/0/2 

[AntiDDoS-zone-trust] add interface GigabitEthernet 3/0/0 

[AntiDDoS-zone-trust] quit 

步骤 5 打开 域 间 缺 省 包 过 滤 。 

在 缺 省 情况 下 ，AntiDDoS8000 的 各 域 间 安 全 策略 是 禁止 通过 的 ， 需 要 将 域 间 包 过 
滤 配置 为 允许 ， 报 文才 能 正常 通过 AntiDDoS8000 设备 。 在 AntiDDoS8000 设备 上 ， 可 


以 不 配置 严格 的 安全 策略 ， 把 所 有 安全 策略 打开 即 可 。 
[AntiDDoS] security-policy 
[AntiDDoS-policy-security] default action permit 
[AntiDDoS-policy-security] quit 
步骤 6 配置 SNMP V3 功能 。 
同时 在 AntiDDoS8000 和 ATIC 配置 SNMP 功能 ， 并 保证 配置 参数 一 致 ，ATIC 可 以 


获取 混 插 设备 的 状态 信息 。 


[AntiDDoS] acl 2998 

[AntiDDoS-acl-basic- 2998] rule beat source 10.1.6. 2 0 description for snmp access 
[AntiDDoS-acl-basic-2998] quit 

[AntiDDoS] snmp-agent acl 2998 - 

[AntiDDoS] snmp-agent sys-info JE 3 ~ 

[AntiDDoS] snmp-agent group v3 atic privacy acl 2998 

[AntiDDoS] snmp-agent usm-user v3 atic 

[AntiDDoS] snmp-agent usm-user v3 atic group atic 

[AntiDDoS] snmp-agent usm-user v3 atic authentication-mode sha . 
Please configure the authentication password (8-64) ~ 
Enter Password: >、 
Confirm Password: 

[AntiDDoS] snmp-agent usm-user v3 atic privacy-mode aes128 

Please configure the privacy password (8-64) 

Enter Password: 

Confirm Password: 


步骤 7 配置 检测 口 。 

检测 口 是 AntiDDoS8000 接收 分 光 或 者 镜像 流量 的 接口 。 从 这 个 接口 进入 
AntiDDoS8000 的 流量 都 是 复制 流量 ， 该 流量 只 被 统计 ， 不 被 转发 。 检 测 口 无 需 配 置 IP 
地 址 。 

(1) 指定 接口 类 型 为 检测 口 

AntiDDoS8000 指定 检测 口 后 ， 从 检测 口 进 来 的 报 文 才 会 被 上 送 到 检测 模块 进行 
处 理 。 


[AntiDDoS] interface GigabitEthernet 1/0/1 
[AntiDDoS-GigabitEthernet1/0/1] anti-ddos detect enable 


(2) 配置 接口 流量 统计 功能 

流量 统计 功能 是 AntiDDoS8000 对 流量 进行 各 种 计数 统计 的 前 提 条 件 ， 在 检测 口 务 
必要 开启 流量 统计 功能 ， 否 则 检测 功能 不 生效 。 在 缺 省 情况 下 ， 接 口 流量 统计 功能 是 关 
闭 状态 。 

[AntiDDoS-GigabitEthernet1/0/1] anti-ddos flow-statistic enable 

[AntiDDoS-GigabitEthernet1/0/1] quit 


步骤 8 配置 清洗 口 。 
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清洗 口 一 般 是 指 待 清洗 流量 进入 AntiDDoS8000 的 接口 。 在 旁 路 部 署 的 场景 中 ， 清 
洗 口 是 引流 流量 的 入 口 。 从 这 个 接口 进入 AntiDDoS8000 的 流量 ， 要 经 过 检测 模块 和 清 
洗 模块 ， 所 以 需要 在 接口 上 指定 接口 类 型 并 配置 流量 统计 功能 。 

(1) 指定 接口 类 型 为 清洗 口 

AntiDDoS8000 指定 清洗 口 后 ， 从 清 中 过 米 有 报关 直 全 外 二 这 肝 且 尝 模 吕 寺 行 处 于、 


[AntiDDoS] interface GigabitEthernet 2/0/1 
[AntiDDoS-GigabitEthernet2/0/1] anti-ddos clean enable 


(2) 配置 接口 流量 统计 功能 
流量 统计 功能 是 设备 对 流量 进行 各 种 计数 统计 的 前 提 条 件 ， 在 清洗 口 务必 开启 流量 
统计 功能 ， 否 则 清洗 功能 不 生效 。 在 缺 省 情况 下 ， 接口 流量 统计 功 人 Pe 


[AntiDDoS- GigabitEthernet2/0/1] anti-ddos flow-statistic enable 
[AntiDDoS-GigabitEthernet2/0/1] quit 


步骤 9 在 AntiDDoS8000 上 ， 配置 动态 生成 路 由 时 使 用 的 是 下 一 跳 地 址 。 

下 一 跳 地 址 配置 是 与 清洗 设备 回 注 接 口 直 连 的 Routerl 接口 GE1/0/2。 当 
AntiDDoS8000 的 检测 模块 检测 到 某 个 IP 地 址 被 攻击 时 ， 向 ATIC 通告 攻击 日 志 。ATIC 
收 到 攻击 日 志 后 ， 会 向 AntiDDoS8000 自动 下 发 一 条 引流 命令 ， 这 条 引流 命令 和 下 面 配 
置 的 下 一 跳 地 址 命令 相 结 合 ， 就 会 在 AntiDDoS8000 上 生成 一 条 32 位 UNR 引流 路 由 。 
这 条 引流 路 由 会 通过 BGP 发 布 到 对 端 Routerl 上 。 

这 条 引流 路 由 要 保证 在 路 由 器 上 是 优先 级 服部 的 路 由 ， 0 


<AntiDDoS> system-view 
[AntiDDoS] firewall ddos bgp-next-hop 10.1.3. 1 


步骤 10 在 清洗 设备 上 配置 BGP 功能 及 团体 属性 。 

AntiDDoS8000 和 Routerl 之 间 建 立 BGP 关系 ，Routerl 为 引流 路 由 器 。 当 
AntiDDoS8000 生成 UNR 引流 路 由 时 ， 会 通过 BGP 发 布 给 Router1， 实 现 引 流 功 能 。 清 
ada eh 


[AntiDDoS] route-policy 1 permit node 1 ， ae 

[AntiDDoS-route-policy] apply community no-advertise 

[AntiDDoS-route-policy] quit 

[AntiDDoS] bgp 100 

[AntiDDoS-bgp] peer 10.1.2.1 as-number 100 

[AntiDDoS-bgp] import-route unr 

[AntiDDoS-bgp] ipv4-family unicast 

[AntiDDoS-bgp-af-ipv4] peer 10.1.2.1 route-policy 1 export 

[AntiDDoS-bgp-af-ipv4] peer 10.1.2.1 advertise-community - 

[AntiDDoS-bgp-af-ipv4] quit 

[AntiDDoS-bgp] quit Be 

完成 上 述 配置 后 ， 清 洗 设 备 上 生成 的 UNR 会 被 引入 到 BGP 中 ， 并 通过 BGP 发 布 
到 Routerl1。 当 Routerl 收 到 目的 地 址 为 1.1.1.1/32 的 流量 时 ， 其 通过 查 路 由 表 ， 根 据 最 
长 掩 码 匹 配 原则 ， 优 先 将 流量 从 接口 GE1/0/1 转发 至 清洗 设备 。 

步骤 11 在 清洗 设备 接口 GE2/0/1 上 配置 策略 路 由 ， 实 现 回 注 功能 

回 注 一 方面 是 要 把 清洗 后 的 流量 回 注 到 原 链 路 中 ， 最 后 再 送 到 防护 对 象 中 ， 另 一 方 
面 ， 是 要 避 开 引流 路 由 ， 防 止 发 生路 由 环 路 。 

[AntiDDoS] policy-based-route 

[AntiDDoS-policy-pbr] rule name huizhu 
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[AntiDDoS-policy-pbr-rule-huizhu] ingress-interface GigabitEthernet 2/0/1 

[AntiDDoS-policy-pbr- -rule-huizhu] action pbr re te ou Me op 3 1 
[AntiDDoS-policy-pbrrule-huizhu] quit ， 
[AntiDDoS-policy-pbr] quit 


步骤 12 保存 配置 。 


<AntiDDoS> save 
2. 配置 ATIC 


步骤 1 登录 ATIC。 

在 浏览 器 中 输入 管理 中 心 IP 地 址 https:/10.1.6.2， 按 “Enter” 键 。 在 登录 界面 上 ， 
输入 用 户 名 、 密 码 和 验证 码 。 用 户 名 为 admin， 密 码 为 Admin@123。 单 击 “ 登 录 ”。 第 
一 次 登录 时 ， 要 修改 初始 密码 。 

步骤 2 创建 Anti-DDoS 设备 。 

人 选择 “防御 > 网 络 配置 > 设备 ”。 

Q@) 单 击 急 旺 。 将 混 插 设备 添加 到 设备 列表 中 ， 如 图 7-26 所 示 。 











i IE ?xX 
设备 信息 
基本 入 息 
设备 名 称 : dean i: Re 
类 型 :; AniiDDoS ~ ”日 志 源 pp : 10.1.6.1 
日 志 密 码 : [ee 
Teinet 数 
类 型 : | STELNET | 
用 户 名 : atic *  : | “e0000sss 
公 角 : i 


1 如 果 壤 写 了 / 公 贺 ， 使 用 STELNET、SFTP 协 议 沪 问 设备 时 对 设备 进行 公 铀 认 征 ， 
2 为 了 保证 数据 传输 的 安全 性 ,建议 填写 公 铀 


SNMPS 数 


类 型 : | sNMP 芝 -| 用 户 名 : | atic | 
WR 环境 引擎 D 区 
授权 认证 擅 议 ; | HMACSHA | 网 | 授权 认证 密码 : | ee | 
数据 加 密 协 议 : AES128 | 数据 加 密 密 码 : ~ 


确定 到 涪 


图 7-26 创建 Anti-DDoS 设备 


e。 JP 地 址 是 指 AntiDDoS8000 管理 口 的 卫 地 址 。 
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。 日 志 源 全 指 AntiDDoS8000 的 日 志 口 卫 地 址 。 

。 日 志 密码 指 上 报 日 志 的 加 密 密 钥 。 当 设备 成 功 创建 后 , ATIC 将 密 钥 下 发 到 Anti-DDoS 
设备 上 。 

STelnet 的 参数 和 SNMP 的 参数 配置 和 AntiDDoS8000 设备 的 参数 配置 必须 保持 完全 
一 致 ， 系 统 会 进行 校 验 。 

@) 单 击 “确定 ”。 
步骤 3 选择 “防御 > 策略 配置 > 防护 对 象 ” 创建 自 定义 防护 对 象 ， 并 配置 防护 对 
象 的 基本 信息 。 

防护 对 象 的 了 P 地 址 是 需要 保护 的 服务 器 IP 地 址 。 不 同业 务 类 型 的 服务 器 需 创建 不 
同 的 防护 对 象 。 例 如 : 针对 Web 服务 器 ， 可 创建 防护 对 象 webZone。 

步骤 4 配置 Web 服务 器 的 防御 策略 。 

Web 服务 器 以 HTTP 和 HTTPS 业务 为 主 ，UDP 业务 流量 较 少 。 所 以 在 配置 防御 策 
略 时 ， 可 以 考虑 配置 TCP、HTTP、HTTPS 的 精细 防御 策略 ， 之 后 ， 再 直接 配置 UDP、 
ICMP 的 限 流 即 可 。 

@ 选择 “防御 > 策略 配置 > 防护 对 象 ” 单 击 防护 对 象 webZone 对 应 的 局， 配置 








防御 模式 过 滤器 ”位置 策略 ， 防 得 策略 











防护 这 宫 (Mbita) | 1000 "(1-2000000) 站 ”入 注 昌 四 规格 启动 限 流 @ 
人 (pps)- [zo0. J* (ta0000000) @ 
引流 模式 : 5 * 自动 执行 二 手动 确认 留 
肪 促 模 式 人 自动 执行 “， 手动 确认 多 
动 过 思 名 单 模式 全 自动。 关闭 灸 
单 目 的 iP 限 流 : 口 有 限 流 六 村 (Mbpsj -| 100 下 11-2000000) @ 
JP 信誉 所 启 告 敬 斋 纺 (pps): 2000 “80000000 全 
新 建 会 话 限 速 门 用 让。 RN 30000 | (1-400000) ba 
秒 级 黑洞 门 - 开 局 畸 注 漳 作 (Mbps) :| 100 (1-100000090} @ 
斑 训 最 过 淖 Dos 改 击 工具 图 
确定 关闭 





图 7-27 防御 模式 的 配置 


@ 在 “防御 策略 ”页 签 中 ， 单 击 以 basic 开头 的 默认 防御 策略 对 应 的 “操作 ” 列 的 剖 。 

@) TCP 防御 : TCP 的 基本 防御 都 可 以 被 开启 ， 如 图 7-28 所 示 。 

ACK Flood 防御 : 严格 模式 的 防御 效果 优 于 宽松 模式 。 

在 直路 部 署 时 ， 推 荐 使 用 ACK Flood 防御 的 严格 模式 ， 业 务 不 会 有 中 断 ， 防 御 效果 
也 好 于 宽松 模式 。 

在 旁 路 部 署 时 ， 建 议 使 用 ACK Flood 防御 的 宽松 模式 。 因 为 在 旁 路 部 署 时 使 用 严格 
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模式 ， 根 据 严格 模式 的 防御 原理 ， 业 务 在 引流 后 要 求 ACK 报 文 命中 的 会 话 必须 是 由 SYN 
或 SYN-ACK 建立 的 ， 否 则 报 文 会 被 丢弃 ， 会 话 重 建 后 业务 才 会 正常 。 








配 填 防 全 策 略 ?x 
WTCP UDP ICMP Other DNS SIP HTP HTTPS ”TopN 学 习 ” 首 包 检查 + 
部 防御 
光 TCP 异 举报 文 防御 
包 :速达 涂 值 (pps) 1000 “(1-80000000) 
区 TCP 基 本 防御 
~ SYN Flood 防 御 
认证 模式 eror-seq * right-seq 
包 这 过 汤 秆 pps) : 2000 (Hao000000) 
网 淹 P SYN 报 文 比例 异常 限 加 
SYRatiotbtnin (04): lm oo 
检查 周期 动 ) 5 “(1-600) 
SYNH 文 个 数 限 束 油 值 (个 ) : 200 | * (0-80000000) 
了 Ra 同期 动 ) 1 (600) 
园 AcK Flood 防 条 
凶 吉 只 演 值 (pps): | 2000 1* (1-80000000) 
TCP 分 片 攻击 防 和 
包 束 李斌 值 pps) [z00  ” * (1-80000000) 
内 FIN/RST Flood 防 御 
包间 下 记 镇 (pps) 
交 ”TCP 连 接 耗 尽 攻 击 防御 
目的 |P 地 址 并 发 连接 数 检 查 加 
5000 * (1-80000000} 
| to00 |* (1-10000000} 
500 





ES <“(1255) 
15 *{1-240) 
a Ln 
天 i * (1-240) 
|200 * (1-1023) 
ww Sockstress 
TCP 窗 口 大 小 六 值 他 ) 11 (0.65536) 





.导入 策 路 模板 导出 策略 模板 确定 取消 ， 


图 7-28 TCP 防御 策略 的 配置 
图 7-18 中 的 配置 在 攻击 时 仅 能 告警 ,不 能 清洗 ， 只 有 配置 动态 黑 名 单 功能 才能 进行 
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清洗 ， 建 议 在 应 急 的 时 候 再 开启 动态 黑 名 单 功 能 。 开 启 方法 如 图 7-29 所 示 。 





LF 协 认 防护 对 象 的 防御 策略 ?x 

防御 模式 ”过 滤器 “位置 策略 ”防御 策略 

防护 帝 帘 (tbps) 1000 上 (2000000) 入 流量 起 规格 害 动 限 流 ®@ 
过 让 强 天 半生 (pps)- 100 "(1-80000000) 国 
引流 模式 ; * 自动 执行 手动 确认 国 
防御 模式 自动 执行 “手动 确认 ® 
动态 和 时 名 单 楼 式 : * 自动 关闭 @ 
蔷 目 的 IP 限 流 : 开启 ®@ 
有 P 信 誉 : 开启 @ 
新 建 会 活 限 运 开启 Wy}: | 30000 全 -400000) 4 有 本 图 
秒 级 黑 泥 开启 于 油 泣 入 (Mbps}: 100 {1-10000000}) (全 
恶意 流量 过 湾 DoS 攻 击 工具 @ 


确定 关闭 


图 7-29 开启 动态 黑 名 单 


@ UDP 防御 : Web 服务 器 一 般 没有 UDP 业务 ， 所 以 UDP 流量 很 小 ， 直 接 限 流 即 
可 ， 如 图 7-30 所 示 。 


le ~ 2 x 


4TCP UDP ICMP Ofher DNS SIP “HTTP ， HTTPS “TopN 学 习 首 包 检查 
下 所 
7 限 流 
万 UDP 限 流 
市 汉 庙 值 (Mbps) 10 * (1-2000000) 
”UDP 分 片 限 流 
市 这 谣 什 (Mbps) 5 * (1-2000000) 
UDP 新 建 会 活 限 到 
1 雪 询 伪 注 接 烤 /#D} 10000. (1-A00006 
防御 


导入 策略 模板 导出 策 咯 模板 确定 取消 


图 7-30 UDP 防御 策略 的 配置 
@ ICMP 防御 : 现 网 中 正常 情况 下 只 有 少量 的 Ping 报 文 , 所 以 ICMP 的 限 速 闪 值 可 
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以 配置 得 小 一 点 ， 如 图 7-31 所 示 。 


配置 防御 策略 
4TCP UDP ICMP ”Other DNS SiP 


型 烃 
交 ”下 流 
ICMP 限 流 
包 轩 这 确信 (pps} 
ICMP 新 建 会 话 限 束 
过 语 慎 (连接 


导入 策略 模板 


图 7-31 
G@) Other 报 文 的 防御 以 限 流 为 主 
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HTFP HTTPS Top RN 学 习 首 包 检查 


| s00 “(1-2000000) 


导出 第 略 模 板 确定 隐 沿 


ICMP 防御 策略 的 配置 
， 如 图 7-32 所 示 。 


#4TCP UDP _ ICMP Qther DNS SP HTIP HTIPS TopN 学 习 首 包 检查 


焉 源 
” 限 流 
Other 限 流 
带宽 阅 信 (Mbps} 
Other 新 建 会 话 限 逐 
周 来 漳 值 (连接 有 
防 箱 


导入 策略 模板 


图 7-32 


导出 策略 模板 。 确证 ， 取消 


Other 防御 策略 的 配置 


@ HTTP 源 认证 防御 ， 如 图 7-33 所 示 。 


多 数 用 户 的 浏览 器 和 App 都 有 完整 的 HTTP 协议 栈 , 因此 可 以 顺利 通过 “302 重 定向 ”， 


? x 


X 
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当 流 量 超 过 阔 值 触发 防御 后 ， 用 户 感知 不 到 认证 过 程 , 业务 访问 没有 受到 任何 影响 。 但 少数 
个 别 的 App 和 程序 可 能 使 用 了 不 完整 的 HITP 协议 栈 ， 无 法 通过 HTTP“302 重 定向 ”的 认 
证 ， 导 致 业务 受到 影响 ， 这 个 时 候 就 需要 关闭 HTTP 源 认 证 防御 ， 避 免 影响 正常 业务 。 











”配置 防御 第 略 2 x 
jrcpP UpP ICMP ”Other DNS SIP ”HiriP HTTPS “TopN 学 习 ” 首 包 检查 » 
I 
| HTTP 防 御 
基于 目的 IP 统计 
名 速 谈 阐 入 (pps) 
请 求 速率 源 值 {qps} 
基于 源 四 统计 
起 吉海 
注 冰 过 让 济公 {qps} 
也 HTTP 源 认证 防御 
防御 模式 
验证 要 纵 入 框 标明 设置 全 
代理 检测 全 
源 认 证 终 填 条 件 


次 类 坎 105 





100 * 04-80000000) 多 


导入 策略 模板 导出 策略 模板 确 走 取 满 


图 7-33 HTTP 防御 策略 的 配置 
HTTPS 源 认证 防御 ， 如 图 7-34 所 示 。 


配置 防 征 策 略 2 x 
TCP UDP ICMP Other DNS SIP HITTP HTTPS~ TopN 学 习 兽 包 检查 > 
防御 
兴 HTTPS 源 认证 防御 
基于 目的 tp 统计 
包 运 率 活 值 (pps》 2000 * (1-80000000) 
基于 源 IP 统 计 
SSL 防 御 全 
叶 协 江 





导入 策略 模板 导出 策略 楼板 确定 取消 


图 7-34 HTTPS 防御 策略 的 配置 
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@) 过 滤器 配置 : 除 上 述 防 御 策略 以 外 ， 对 于 不 提供 服务 的 端口 ， 可 以 通过 配置 过 
滤器 进行 阻 断 。 

单 击 “ 过 滤器 ” 进入 页 签 后 ， 单 击 @ 关 &id 吕 。 选 中 ATIC 缺 省 提供 的 除 “DNS 
Amplification” 外 的 所 有 过 滤器 模板 ， 单 击 “ 确 定 ”。 

步骤 5 部 署 防御 策略 。 

Q@ 选择 “防御 > 策略 配置 > 防护 对 象 ?”， 选 中 防护 对 象 前 的 复 选 框 ， 单 击 攻 部 署 。 

@ 单 击 “ 确 定 ” 显示 部 署 的 进度 提示 ， 部 署 完 成 后 进度 提示 自动 关闭 。 

步骤 6 选择 “防御 > 策略 配置 > 防护 对 象 ” 单 击 “基线 学 习 状 态 ” 列 的 具体 状态 ， 
开启 基线 学 习 功 能 ， 如 图 7-35 所 示 。 

基线 学 习 不 需要 配置 策略 ， 只 要 有 流量 经 过 设备 即 可 。 















































创建 基线 学 习 任务 2 Xx 
基线 名 称 test 
学 习 周期 (天 ) 了 “190; 
当前 入 权重 8 *% @ 
开始 时 间 2 马上 启动 自 定义 时 间 
结束 时 间 : 3 手动 停止 自 定义 时 间 
室 动 生效 。 疼 


图 7-35 基线 学 习 


步骤 7 调整 阐 值 。 

一 般 情 况 下 ， 如 果 应 用 基线 学 习 到 数据 之 后 ， 告 警 会 比较 多 ， 因 此 ， 需 要 适当 调整 
阐 值 或 者 其 他 参数 。 

QD 将 抽样 比 调整 为 0, 即 每 个 报 文 都 统计 。 如 果 抽 样 比 配置 过 大 , 当 流 量 比较 小 时 ， 
统计 出 来 的 值 容易 失真 和 跳 变 。 一 般 情况 下 ， 如 果 总 流量 小 于 1GB， 都 可 以 将 抽样 比 配 
置 为 0。 

@ 查看 该 防护 对 象 的 流量 TopN 无 攻击 的 情况 下 )， 选 取 流量 最 大 的 IP， 并 以 此 
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IP 查看 各 种 协议 的 流量 对 比 ( 统 计 方 式 选择 峰值 )， 时 间 跨 度 选择 一 周 即 可 。 然 后 使 
用 每 种 流量 峰值 的 2 倍 作为 相应 防范 的 阔 值 。 如 果 流 量 峰值 比较 小 ， 比 如 只 有 几 十 
pps， 建 议 直接 使 用 默认 值 作为 阔 值 ， 真 正 发 生 攻 击 之 后 ， 攻 击 流 量 不 可 能 才 只 有 几 
二 pps。 

步骤 8 保存 配置 。 

@ 选择 “防御 > 策略 配置 > 设备 全 局 配置 ” 选中 Anti-DDoS 设备 前 的 复 选 框 ， 单 

击 ”全 保存 设备 配置 。 

加 单 击 “ 确 定 ” 显示 保存 的 进度 提示 ， 完 成 保存 后 进度 提示 自动 关闭 。 

3. 路 由 器 配置 过 程 

下 面 以 华为 路 由 器 NE80E 为 例 ， 介 绍 路 由 器 的 BGP 和 策略 路 由 的 配置 过 程 。 不 同 
版 本 的 路 由 器 的 配置 不 同 ， 请 根据 实际 路 由 器 版 本 进行 配置 ， 以 下 配置 仅 供 参考 。 

步骤 1 配置 路 由 器 接口 的 了 人 P 地址 。 

步骤 2 配置 路 由 器 的 BGP 功能 。 


[Routerl] bgp 100 
[Routerl-bgp] peer 10.1.2.2 as-number 100 
[Routerl-bgp] quit 


步骤 3 在 路 由 器 接口 GE1/0/2 配置 策略 路 由 。 
Q 定义 流 分 类 。 


[Routerl] acl 3001 
[Routerl- -acl-adv- -3001] rule permit 记 

| [Routerl -acl- -adv-3001] quit 
[Routerl] traffic classifier classl | 
[Routerl-classifier-class1] if- -mateh acl 3001 
[Routerl-classifier-class1] quit 
@ 配置 流行 为 并 配置 报 文 转发 动作 。 
[Routerl] traffic behavior behavior1 
[Routerl-behavior-behaviorl] redirect sen 10. 1 .5.2 ee abitEthernet 1/0/3 
[Routerl-behavior-behaviorl] quit 
@) 定义 流量 策略 并 在 策略 中 为 类 指定 行为 。 
[Routerl] traffic policy policy1 
[Routerl-trafGcpolicy-policy1] classifier classl behavior behavior1l 
[Router] -trafficpolicy-policy1] quit 
@ 在 接口 上 应 用 策略 路 由 。 
[Routerl] interface GigabitEthernet 1/0/2 
[Routerl-GigabitEthernetl/0/2] traffic-policy policyl inbound 
[Routerl-GigabitEthernet1/0/2] quit 


7.3 ”大 型 数据 中 心 防 护 


相 比 于 小 型 数据 中 心 ， 大 型 数据 中 心 (IDC) 不 仅仅 是 一 个 网 络 的 概念 ， 更 是 
一 个 服务 的 概念 , 它 已 成 为 网 络 基础 资源 的 一 部 分 , 如 图 7-36 所 示 。IDC 通常 为 ICP 
(互联 网 内 容 提 供 商 )、 企 业 、 媒 体 和 各 大 网 站 提供 大 规模 、 高 质量 的 专业 服务 器 托 
管 、 空 间 租 用 网 络 带 宽 批 发 等 传输 和 接 入 服务 。 企 业 将 IT 设施 外 包 给 专业 的 IDC 
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服务 提供 商 ，IDC 服务 提供 商 向 企业 提供 设备 的 维护 和 管理 、 机 房 设 施 、 带 宽 服 务 
以 及 应 用 服务 。 这 种 专业 化 的 服务 减少 了 资源 的 投入 ， 从 而 降低 了 传统 企业 上 网 的 
门槛 。 





游戏 服务 器 DNS 服务 器 
图 7-36 大 型 数据 中 心 组 网 


随 着 IDC 的 广泛 应 用 ，IDC 的 网 络 安 全 也 变 得 更 加 重要 。 针 对 IDC 的 流量 特点 , 我 
们 规划 网 络 时 应 从 以 下 几 个 方面 考虑 。 


7.3.1 规划 思路 


1. 设备 选择 

数据 中 心 有 储 存 各 种 重要 业务 信息 的 服务 器 ， 这 些 服务 器 承载 了 现 网 中 的 各 种 业 
务 ， 服 务 器 一 旦 受到 攻击 ， 会 直接 导致 部 分 网 络 瘫痪 ， 直 接 影响 正常 业务 ， 所 以 数据 中 
心 的 检测 和 清洗 精准 度 非常 重要 。 华 为 AntiDDoS8000 设备 采用 的 是 逐 包 检测 技术 。 相 
比 于 逐 流 检测 ， 逐 包 检 测 更 精细 ， 同 时 也 可 针对 不 同 的 业务 配置 差异 化 防御 策略 。 逐 包 
检测 的 防御 更 精准 ， 推 荐 使 用 。 

2.， 部 署 方式 

旁 路 部 署 方 式 不 改变 原 有 网 络 的 拓扑 结构 ， 保 证 了 链 路 的 可 靠 性 。 

大 型 数据 中 心 业务 量 大 , 对 设备 性 能 要 求 高 , 建议 分 别 独立 部 署 1 台 AntiDDoS8000 
检测 设备 和 1 台 清 洗 设备 。 

3. 流量 引导 方式 

数据 中 心 组 网 不 会 很 复杂 ， 回 注 链 路 也 不 会 太 多 ， 建 议 采 用 BGP 旁 路 引流 + 策略 路 
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由 回 注 方式 引导 流量 流 回 Anti-DDoS 设备 。BGP 引流 可 以 实现 动态 引流 ， 策 略 路 由 回 注 
的 配置 简单 。 

Anti-DDoS 设备 既 支 持 静 态 引 流 ， 又 支持 动态 引流 。 静 态 引 流 清洗 是 指 不 管 是 否 发 
生 攻 击 ，Anti-DDoS 设备 都 将 所 有 流量 引导 到 清洗 设备 中 ， 再 由 清洗 设备 转发 。 当 发 生 
攻击 时 ， 清 洗 过 程 会 非常 消耗 清洗 设备 的 性 能 。 一 旦 清洗 设备 性 能 达到 瓶颈 ， 就 会 影响 
流量 的 转发 。 如 果 此 时 Anti-DDoS 设备 还 有 其 他 用 户 的 流量 需要 转发 ， 只 要 设备 性 能 稍 

有 问题 ， 没 有 遭受 攻击 的 用 户 业 务 也 会 受到 影响 。 相 比 于 静态 引流 方式 ， 动 态 引流 可 靠 

”性 更 高 。 使 用 动态 引流 ， 没 有 发 生 攻击 时 ， 流 量 并 不 会 经 过 清洗 设备 。 只 有 当 攻 击发 生 
后 ， 清 洗 设备 才 会 将 去 往 被 攻击 用 户 的 流量 引流 到 设备 上 进行 清洗 ， 其 他 未 受到 攻击 的 
用 户 的 流量 不 会 被 引流 ， 也 不 会 经 过 清洗 设备 。 因 此 ;即使 清洗 设备 流量 很 大 也 不 会 影 
响 其 他 用 户 。 

4. 业务 子 卡 规划 

AntiDDoS8000 是 分 布 式 设备 ， 设 备 是 检测 设备 还 是 清洗 设备 取决 于 业务 子 卡 的 类 
型 。 在 缺 省 情况 下 ，AntiDDoS8000 业务 板 的 子 卡 不 具有 检测 或 清洗 功能 ， 用 户 需要 通 
过 命令 指定 某 模 位 业务 子 卡 的 功能 是 检测 功能 还 是 清洗 功能 。 

5. License 控制 

AntiDDoS8000 业务 板 的 子 卡 同 时 也 受 License 控制 ,命令 制定 后 ， 其 要 加 载 相 匹配 
的 License， 才 能 生效 。AntiDDoS8000 的 检测 和 清洗 License 控制 项 见 表 7-5。 

















表 7-5 、 AntiDDoS8000 的 检测 和 清洗 License 控制 项 


















激活 License 后 ， 检 测 功能 可 用 
激活 License 后 ， 检 测 功能 可 用 
”激活 License 后 ， 检 测 功能 可 用 
激活 License 后 ， 清 洗 功 能 可 用 
激活 License 后 ， 清 洗 功能 可 用 
激活 License 后 ， 清 洗 功能 可 用 


检测 子 卡 -20 只 能 加 载 在 ADS- spC. gh 业务 子 卡 上 
检测 子 卡 -40 只 能 加 载 在 ADS-SPC-40-00 业 务 子 卡 上 
检测 子 卡 -80 ”| 只 能 加 载 在 ADS-SPC-80-00 业务 子 卡 上 上 
清洗 子 卡 -20 只 能 加 载 在 ADS-SPC-20-00 业务 子 卡 上 
清洗 子 卡 -40 只 能 加 载 在 ADS-SPC-40-00 业务 子 卡 上 


清洗 子 卡 -80 只 能 加 载 在 ADS-SPC-80-00 业务 子 卡 上 
























































AntiDDoS8000 支持 使 用 主 控 板 ESN 和 背 板 ESN 申请 License。 主 控 板 的 ESN 可 以 
使 用 命令 display esn 查询 ， 背 板 的 ESN 可 以 使 用 display esn all 查询 ， 显 示 的 BackPlane 
为 背 板 的 ESN， 也 可 以 使 用 display license esn 查询 。 我 们 推荐 使 用 背 板 ESN 申请 License。 
因为 主 控 板 故障 率 比 背 板 的 高 ， 更 换 以 后 需要 重新 申请 License， 以 及 双 主 控 情 况 下 需要 
使 用 两 个 ESN， 任 何 一 个 主 控 板 故障 都 要 更 换 license。 

在 双 主 控 的 情况 下 ，AntiDDoS8000 必须 同时 提供 主 备 主 控 板 的 ESN。 假 如 只 使 用 
主 用 主 控 板 的 ESN 申请 并 激活 License 文件 ， 则 需要 重新 使 用 主 用 主 控 板 和 备用 主 控 板 
的 ESN 去 申请 License 文件 ， 取 消 已 经 激活 的 License 文件 ， 再 激活 新 的 License 文件 即 
可 正常 使 用 。 
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6. 检测 设备 接口 规划 

规划 检测 设备 时 需要 规划 一 个 检测 口 、 一 个 管理 口 、 一 个 与 ATIC 通信 的 管理 口 和 
二 个 目 六 辣 5 

检测 口 用 于 接收 分 光 或 者 镜像 的 流量 ， 从 这 个 接口 进入 检测 设备 的 流量 都 是 网 络 中 
的 复制 流量 。 

独立 检测 设备 的 管理 口 和 清洗 设备 、 混 插 设 备 的 管理 口 不 同 ， 需 要 单独 配置 一 条 
管理 口 命令 : anti-ddos detect-device manage-port enable。 当 独立 部 署 检测 设备 时 ， 在 缺 
省 情况 下 ， 检 测 设备 接收 到 的 报 文 都 被 认为 是 分 光 或 者 镜像 的 报 文 ， 上 只 做 流量 统计 ， 
统计 完成 后 直接 被 丢弃 ， 不 被 转发 。 对 于 检测 设备 的 管理 流量 ， 比 如 ， 检 测 设备 通过 
SSH 或 Telnet 等 方式 管理 设备 的 流量 时 ， 如 果 不 特殊 配置 的 话 ， 也 会 被 丢弃 。 岂 以 需 
要 在 检测 设备 上 配置 管理 口 用 于 管理 设备 ， 这 样 ， 从 管理 口 接收 的 流量 就 不 会 被 丢弃 ， 

管理 口 和 日 志 口 可 以 是 同一 个 接口 ， 也 可 以 是 不 同 的 接口 。 主 控 板 接口 
GigabitEthernet0/0/0 可 以 作为 与 ATIC 通信 的 管理 接口 ， 但 不 能 作为 向 ATIC 发 送 日 志 的 
接口 。 所 以 如 果 管 理 口 和 日 志 口 用 同一 个 接口 的 话 ， 就 不 能 用 GigabitEthernet0/0/0 
接口 。 < 

ATIC 服务 器 只 有 GE 接口 ， 建 议 在 接口 板 预 留 1 个 GE 接口 与 ATIC 互 连 。 如 果 
AntiDDoS8000 设备 上 只 有 10GE 接口 ， 也 可 以 使 用 中 间 网 络 设备 进行 -GE 接口 与 10GE 
接口 的 转换 。 | 

7. 清洗 设备 接口 规划 

清洗 设备 需要 规划 一 个 清洗 口 (引流 口 )、 一 个 回 注 口 、 一 个 与 ATIC 通信 的 管理 口 
和 一 个 日 志 口 。 其 中 ， 引 流 口 和 回 注 口 可 以 是 两 个 不 同 的 主 接口 ， 也 可 以 是 一 个 主 接口 
下 的 两 个 子 接口 。 

8. 防御 策略 

首先 明确 设备 要 防护 的 目标 IP, 针对 目标 建立 防护 对 象 , 然后 配置 相应 的 防护 策略 。 
对 于 其 他 不 明确 的 目标 ， 需 要 配置 默认 防护 对 象 的 防御 策略 来 防御 。 

例如 : IDC 网 络 中 有 3 台 Web 服务 器 、2 台 DNS 服务 器 以 及 5 台 游 戏 服务 器 。 
不 同 的 服务 器 配置 不 同 的 防御 策略 ， 像 Web 服务 器 重点 配置 HTTP 类 的 防御 策略 ， 
DNS 服务 器 则 重点 配置 DNS 类 的 防御 策略 ， 游 戏 服务 器 则 重点 配置 UDP/TCP 类 的 
防御 策略 。 

如 果 我 们 为 每 一 个 服务 器 建立 一 个 防护 对 象 ， 则 需要 建立 10 个 防护 对 象 ， 配 置 起 
来 比较 麻烦 。 如 果 同 一 类 型 的 服务 器 业务 基本 相同 ， 则 可 以 只 配置 3 个 防护 对 象 ， 即 针 
对 Web 服务 器 、DNS 服务 器 和 游戏 服务 器 的 3 个 防护 对 象 ， 然 后 ， 在 每 一 个 防护 对 象 
中 将 多 个 服务 器 的 IP 地 址 添加 进来 (每 个 防护 对 象 可 以 配置 多 个 人 P 或 者 网 段 ); 最 后 再 
配置 相应 的 防御 策略 ， 这 样 每 一 类 服务 器 只 需要 配置 一 次 策略 。 

配置 完成 后 ， 就 完成 了 重点 目标 的 防护 ,我 们 也 可 以 对 IDC 中 其 他 的 网 络 资源 使 用 
默认 防护 对 象 的 防御 策略 来 进行 防御 。 

9. 安全 策略 规划 

在 缺 省 情况 下 ，AntiDDoS8000 设备 上 的 安全 策略 是 关闭 的 ， 但 可 以 打开 缺 省 包 过 滤 。 
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10. ATIC 

ATIC 由 管理 中 心服 务 器 和 采集 器 两 部 分 组 成 ， 并 有 两 种 部 署 方 式 。 

@ 集中 式 部 署 ; ATIC 服务 器 和 采集 器 同时 安装 在 同一 台 物 理 服务 器 上 。 

@ 分 布 式 部 署 : ATIC 服务 器 和 采集 器 分 别 安装 在 不 同 的 物理 服务 器 上 ， 多 台 采 集 
器 可 以 共用 一 台 ATIC 服务 器 ， 一 台 ATIC 服务 器 最 多 可 管理 20 台 采 集 器 。 

一 台 采 集 器 大 约 可 以 处 理 30 万 个 全 地址 的 Anti-DDoS 业务 日 志 ， 可 以 根据 防护 对 
象 的 IP 地 址 个 数 来 选择 ATIC 部 署 方式 。 设 备 旁 路 部 署 时 ， 如 果 多 台 设 备 部 署 地 比较 分 
散 ， 则 建议 配置 多 台 采 集 器 。 

在 本 例 中 ， 管 理 中 心 采用 集中 式 部 署 ， 即 采集 器 与 管理 服务 器 部 署 在 同一 台 服 务 
名 下 : 

11. 路 由 规划 

检测 设备 、 清 洗 设备 、ATIC 三 者 之 间 要 路 由 可 达 。 

7.3.2 ”典型 组 网 

如 图 7-37 所 示 ， 清 洗 设 备 旁 路 部 署 在 及 outerl 和 Router2 上 ， 检 测 和 清洗 到 达 防 护 
对 象 的 流量 。 由 于 是 旁 路 部 署 , 因此 需要 将 到 达 防 护 对 象 的 下 行 流量 通过 BGP 引流 方式 
实时 牵引 至 清洗 设备 进行 检测 和 清洗 ， 清 洗 完成 后 ， 再 将 正常 流量 通过 策略 路 由 方式 回 
注 到 原 链 路 Routerl 和 Router2 上 ， 最 终 将 流量 送 到 防护 对 象 中 。 

















游戏 服务 器 DNS 服务 器 ee ~ 管理 流量 


图 7-37 检测 设备 + 清洗 设备 旁 路 部 署 
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7.3 





检测 设备 


0 


.3 ”数据 规划 
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清洗 设备 和 管理 中 心 的 卫 地 址 规划 如 表 7-6 和 图 7-38 所 示 。 


表 7-6 
E777 
GE2/0/1 


IP 地 址 规划 


检测 口 








GE2/0/2 检测 口 
与 管理 中 心 通信 口 


GE3/0/0 





检测 设备 一 起 将 日 志 报 文 / 抓 包 报 文 发 送 至 管理 中 
心中 的 Anti-DDoS 采集 器 ， 供 Anti-DDoS 采集 器 分 
10.1.6.3/24 “| 析 以 及 进行 后 续 处 理 。 

此 接口 IP 地 址 与 管理 中 心 IP 地 址 必须 路 由 可 达 ， 
在 本 例 中 ， 此 接口 IP 地 址 与 管理 中 心 IP 地 址 在 同 
一 网 段 





与 Routerl 直 连 清洗 口 (引流 流量 入 接口 )， 清 洗 设 
GE1/0/1 10.1.0.2/24 ”| 备 对 从 该 口 进 入 的 流量 应 用 各 种 防御 策略 ， 对 流量 
进行 分 析 和 清洗 





GE1/0/2 10 .1-1-3724 与 Routerl 直 连 回 注 口 。 
Ee 清洗 后 的 正常 流量 通过 此 接口 回 注 到 原 链 路 





GE2/0/1 10,1.2.2/24 备 对 从 该 口 进入 的 流量 应 用 各 种 防御 策略 ， 对 流量 
进行 分 析 和 清洗 



























清洗 设备 
与 Router2 直 连 回 注 口 。 
“43224 | 清洗 后 的 正常 流量 通过 此 接口 回 注 到 原 链 路 
与 管理 中 心 通信 口 
清洗 设备 将 日 志 报 文 / 抓 包 报 文 发 送 至 管理 中 心 的 
ed Lb Anti-DDoS 采集 器 ， 供 Anti-DDoS 采集 器 分 析 以 及 
进行 后 续 处 理 
管理 中 心 三 10.1.6.2/24 “| 与 清洗 设备 路 由 可 达 
GE1/0/1 引流 通道 
与 防 炎 过 
流通 


所 防火 过 


Routerl 的 接口 GE1/0/1 与 清洗 设备 的 接口 GE1/0/1 之 间 的 通道 为 引流 通道 。 
Routerl 的 接口 GE1/0/2 与 清洗 设备 的 接口 GE1/0/2 之 间 的 通道 为 回 注 通道 。 
Router2 的 接口 GE1/0/1 与 清洗 设备 的 接口 GE2/0/1 之 间 的 通道 为 引流 通道 。 
Router2 的 接口 GE1/0/2 与 清洗 设备 的 接口 GE2/0/2 之 间 的 通道 为 回 注 通 道 。 


管理 中 心 采 用 集中 式 部 署 ， 即 Anti-DDoS 采集 器 与 管理 服务 器 部 署 在 同一 台 服 务 


器 上 。 


与 Router2 直 连 清洗 口 〈 引 流 流量 入 接口 )， 清 洗 设 
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10.14.1124]1 
”GEBlo2 ||| | 
10111241|, | 























核心 交换 机 | ， 
防护 对 象 一 人、 防护 对 象 
ee -一 一 -> 正常 流量 
| | -一 一 一 攻击 流量 
游戏 服务 器 DNS 服务 器 





图 7-38 卫 地址 规划 


7.3.4 ”配置 思路 


1. 检测 设备 上 需要 完成 以 下 主要 功能 的 配置 

GD 加 载 License。 

@) 指定 业务 子 卡 的 类 型 。 

@) 配置 接口 卫 地 址 ， 接 口 加 入 安全 区 域 ， 并 打开 域 间 缺 省 包 过 滤 。 其 中 ， 检 测 口 
无 需 配置 IP 地 址 。 

@ 配置 管理 口 功能 。 

@) 配置 STelnet 功能 。 

@) 配置 SNMP 功能 ， 使 管理 中 心 可 以 获取 检测 设备 的 状态 。 

Q@ 配置 检测 口 ， 并 在 检测 口 开启 流量 统计 功能 。 

保存 配置 。 

2. 清洗 设备 上 需要 完成 主要 功能 的 配置 

Q) 加 载 License。 
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@ 指定 业务 子 卡 的 类 型 。 

@) 配置 接口 卫 地 址 ， 接 口 被 加 入 安全 区 域 ， 并 打开 域 间 缺 省 包 过 滤 。 

@ 配置 STelnet 功能 

@ 配置 SNMP 功能 ， 使 管理 中 心 可 以 获取 清洗 设备 的 状态 。 

@ 配置 清洗 口 ， 并 在 清洗 口 开 启 流量 统计 功能 。 

@ 引流 口 和 回 注 口 配置 Link-Group 功能 ， 增 强 链 路 可 靠 性 。 

配置 引流 和 回 注 功 能 

@ 保存 配置 。 

3. 管理 中 心 需要 完成 主要 功能 的 配置 

@ 第 一 次 登录 管理 中 心 。 

@ 创建 Anti-DDoS。 

@@ 配置 相应 的 防御 策略 。 

@ 配置 基线 学 习 功 能 ， 并 调整 防御 阔 值 。 

@) 保存 配置 。 

另外 ， 我 们 还 要 完成 对 接 路 由 器 的 相关 配置 ， 本 例 给 出 的 路 由 器 配置 仅 作 参考 ， 现 
网 中 请 根据 路 由 器 具体 型 号 进行 配置 。 


7.3.5 “配置 过 程 


1. 配置 检测 设备 

步骤 1 加 载 License。 

AntiDDoS8000 的 检测 功能 是 受 License 控制 的 ， 所 以 用 户 在 购买 设备 的 同时 ， 也 要 
购买 相应 的 License。License 成 功 加 载 并 激活 是 AntiDDoS8000 检测 功能 可 用 的 前 提 条 件 
6 

License 文件 后 缀 为 “*.dat”，License 文件 可 以 被 重 命名 ， 但 扩展 名 “.dat” 不 能 
更 改 ， 和 否则 系统 将 无 法 正常 加 载 License 文件 。 

用 户 激活 License 后 ， 可 以 通过 命令 “ display license”， 查 看 License 的 信息 。 


<Detect> system-view AS、 
[Detect] license active lic_detect 20160530.dat 


步骤 2 指定 业务 板子 卡 的 检测 功能 。 

在 缺 省 情况 下 ，AntiDDoS8000 的 业务 子 卡 不 具备 检测 功能 ， 需 要 通过 命令 指定 。 
只 有 与 子 卡 匹配 的 icense 椒 于 激活 状态 且 业 务 板 底板 注册 成 功 后 ， 它 才 可 以 执行 下 面 
的 命令 指定 子 卡 类 型 。 上 述 操作 非常 重要 ， 子 卡 注册 成 功 后 ， 才 可 以 继续 进行 接口 等 其 
他 配置 ， 否 则 无 法 进行 后 续 配 置 。 

[Detect] firewall ddos detect-spu slot 4 card 0 


[Detect] firewall ddos detect-spu : slot 4cardl 


[Detect] display ddos slot 
SlotID CardID CPU Number - Config Register Stas 一 








4 0 0 de Registeed da 
4 1 2 detect Registered detect 





第 7 篇 实战 213 


步骤 3 配置 STelnet 功能 。 
配置 STelnet 功能 是 为 了 实现 ATIC 管理 检测 设备 ， 比 如 防御 策略 的 下 发 、 引 流 策略 








的 下 发 等 。ATIC 和 检测 设备 的 STelnet 参数 卫生 要 保 持 完全 2 


~ [Detect] user-interface vty 04 和 、 ，。. 
[Detectui-vty0-4] authentication-mode aaa 
1 [Detect-ui- ~vty0-4] user privilege level 3 


， Confirm Password: 


[Detect-ui-vty0-4] protocol inbound ssh 
[Detect-ui- -vty0-4] quit 

[Detect] aaa | 

[Detect- ‘aaa| manager-user tie ， 
[Detect-aaa-manager-user-atic] password 
Enter Password: 0 ， 。 ， 一 一 一 一 全 一 








、 [Detect-aaa-manager-user- atic] service-type Ssh 
[Detect-aaa- manager-user- -atic]levell5 
[Detect- aaa-manager- user-atic] tt | 


‘The range of public key : size is (512 ~ ~2048). 


eb nhe modultsldefoult = 2048] 
， Generating keys... 


[Detect] stelnet Server wa 

[Detectl ssh useratic 

[Detect ssh user atic authentication-type Lam 
， [Detect] ssh user atic service-type stelnet 


[Detect-aaa] quit -= ~ 
[Detect] rsa local-key-pair create 
The key name will be: AntiDDoS 1 Host 













NOTES: Akey shorter than 1024 bits may cause ks. 
The generation ‘ofa key longer than 了 12 bits may take several minutes 





步骤 4 配置 管理 口 IP 地 址 ， 并 将 各 接口 j 义 相应 的 安全 区 城 。 
在 缺 省 情况 下 ，AntiDDoS8000 接口 开启 了 访问 控制 管理 功能 。 管 理 接口 





(GE0/0/0) 下 HTTP、HTTPS、Ping 的 权限 都 是 放 开 的 , 不 需要 配置 任何 安全 策略 ， 


就 能 


通过 管理 口 访问 到 设备 。 非 管理 口 (包括 逻辑 接口 ， 如 VLANIF、VT 接口 、 


Tunnel 接口 ) 下 Telnet、Ping、SSH、SNMP 等 的 权限 都 是 关闭 的 。 此 时 ， 即 使 放 
开 了 接口 所 在 安全 域 到 local 的 安全 策略 ， 也 不 能 通过 该 接口 访问 设备 。 在 执行 
undo seryice-manage enable 命令 后 ， 可 以 开启 接口 的 Telnet、Ping、SSH、SNMP 
等 功能 。 


[Detect] interface GigabitEthernet 3/00 | - 
[Detect- ‘GigabitEthernet3/0/0] undo Www enable 
[Detect-GigabitEthernet3/0/0] ip address 10.1.6.324 





# 指定 接口 类 型 ， 从此 接口 进入 的 流量 才能 正常 上 这 到 检测 据 。 | 
[Detect- -GigabitEthernet3/0/0] antirddos detect enable 
# 配置 管理 口 。 0 。 


当 独立 部 署 检 测 | 设备 时 ， 在 缺 省 情况 下 ， 检测 设备 接收 的 报 文才 被 认为 是 分 交 或 者 





镜像 的 报 文 ， 只 做 流量 统计 ， 统 计 完成 后 直接 被 丢弃 ， 不 转发 。 对 于 检测 设备 管理 的 流 


- 旦 . 
里 ， 


比如 通过 SSH 或 Telnet 等 方式 对 设备 进行 管理 的 流量 ， 如 果 不 被 特殊 配置 ， 也 会 被 
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所 以 需要 在 检测 设备 上 配置 管理 口 用 于 管理 设备 ， 这 样 ， 从 管理 口 接收 的 流量 就 
会 被 丢弃 ， 而 会 被 继续 上 送 处 理 。 


[Detect-GigabitEtheret3/0/0] anti-ddos detect-device manage-port. enable - 0 
[Detect-GigabitEthernet3/0/0] quit | 、 


# 加 入 安全 区 域 。 各 外加 入 安全 会 导 到 业务 不 通 。 


[Detect] firewall zone trust © 
[Detect-zone-trust] add interface Gigabitpthernet 20001 
[Detect-zone-trust] add interface GigabitEthernet 2/012 
[Detect-zone-trust] add interface Co 31010 
. [Detect-zone-trust] quit ， 


步骤 5 打开 域 间 缺 省 包 过 滤 。 

在 缺 省 情况 下 ， 检 测 设备 的 各 域 间 安全 策略 是 禁止 通过 的 ， 需 要 配置 域 间 包 过 滤 为 
允许 ， 报 文才 能 正常 通过 检测 设备 。 在 检测 设备 上 ， 可 以 不 配置 严格 安全 策略 ， 把 所 有 
安全 策略 打开 即 可 。 


[Detect security-poliey “一 
[Detect-policy- -security] default taction permit 9 
[Detect-policy-security] quit 


步骤 6 配置 SNMP V3 功能 。 
要 同时 在 检测 设备 和 ATIC- 配 置 SNMP 功能 ， 并 保证 配置 参数 一 致 ， 这 样 ATIC 才 
可 以 获取 检测 设备 的 状态 信息 。 


~ [Detect] acl 2998 ; 
[Detect-acl.| -bakic -2998] rule permit souree 10. 162 0 description for 
[Detect-acl- -basic-2998] quit ， 
[Detect] snmp-agent acl 2998 
[Detect] snmp-agent sys-info version v3 
[Detect] snmp-agent group “3 atic privacy a 
~ [Detect] snmp-agent usm-user v3atic 和、 
- [Detect] snmp-agent usm-user v3 atic group atic 
[Detect] snmp-agent usm-user v3 atic authenticatio, 
Please configure the authentication Po 人 的) 






























， [Detect] snmp-agent usm-u ry3 se me mo ， 
Please configure te piacy Do (8-64 
Enter Password: 
Confirm Pu 


步骤 7 

人 像 流 量 的 接口 。 从 这 个 接口 进入 
AntiDDoS8000 的 流量 都 是 复制 流量 ， 只 进行 统计 ， 不 转发 。 检 测 口 无 需 配 置 IP 
地 址 。 

流量 统计 功能 是 AntiDDoS8000 对 流量 进行 各 种 计数 统计 的 前 提 条 件 ， 在 检测 口 务 
必 开 启 流量 统计 功能 ， 否 则 检测 功能 不 生效 。 在 缺 省 情况 下 ， 接 口 流量 统计 功能 为 关闭 
状态 。 
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GigsbiBd umelyoa] qult sp 
步骤 8 保存 配置 ， 本 和 时 要 随时 保存 ， 区 
| <Detect> save | 

2. 配置 清 青 洗 设 备 

步骤 1 加 载 License。 

AntiDDoS8000 的 清洗 功能 是 受 License 控制 的 ， 所 以 用 户 在 购买 设备 的 同时 ， 也 要 
购买 相应 的 License。License 成 功 加 载 并 激活 , 是 AntiDDoS8000 清洗 功能 可 用 的 前 提 条 
件 之 一 

License 文件 后 缀 为 “*.dat”，License 文件 可 以 被 重 命名 ， 但 扩展 名 为 “.dat” 不 能 
被 更 改 ， 否 则 系统 将 无 法 正常 加 载 License 文件 。 

激活 License 后 ， 人 令 ae license， 查看 License se 的 信 息 。 





步骤 2 指定 业务 板子 卡 为 清洗 。 
”在 缺 省 情况 下 ，AntiDDoS8000 的 业务 子 卡 不 具备 清洗 功能 ， 需 要 通过 命令 指定 清 
洗 。 只 有 与 子 卡 匹配 的 License 处 于 激活 状态 ， 业 务 板 底 板 注 册 成 功 后 ， 才 可 以 执行 下 
面 的 命令 指定 子 卡 类 型 。 子 卡 注册 成 功 后 ， 才 可 以 继续 进行 接口 等 其 他 配置 ， 否 则 无 法 
进行 后 续 配置 。 











步骤 3 配置 S STelnet 功能 。 
配置 STelnet 功能 是 为 了 实现 ATIC 对 清洗 设备 的 管理 ， 比 如 防御 策略 的 下 发 、 引 流 
策略 的 下 发 等 。 ATIC 和 清洲 赣 名 的 STeinst 参 当 法 要 俱 棕 党 侈 一 玛 。 
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The range of public key size is (5 12 ~ ~2048).， | 
| NOTES: A key shorter than 1024 bits may cause e security aa 
‘The generation ¢ ofa key longer | than 512 bits mayt take several minutes. 


， pu the bit in then odulus[default = = 2 








jon ssh user atic Service ype ae 


步骤 4 配置 接口 I P 地 址 ， 症 将 各 效 全 入 相应 的 安全 区 域 。 

配置 接口 P 地 址 ， 并 将 引流 口 和 回 注 口 绑 定 Link-group， 增 强 链 路 可 年 性 。 

在 缺 省 情况 下 ，AntiDDoS8000 接口 开启 了 访问 控制 管理 功能 。 管理 接口 (GE0/0/0) 
下 HTTP、HTTPS、Ping 的 权限 都 是 放 开 的 ， 不 需要 配置 任何 安全 策略 ， 就 能 通过 管理 
口 访 问 到 设备 。 非 管理 口 ( 包 括 逻 辑 接口 , 如 VLANIF、VT 接 日 s Tunnel 接口 ) 下 Telnet、 
Ping、SSH、SNMP 等 的 权限 都 是 关闭 的 。 此 时 ， 即 使 放 开 了 接口 所 在 安全 域 到 local 的 
安全 策略 ， 也 不 能 通过 该 接口 访问 设备 。 执 行 undo service-manage enable 命令 后 ， 可 
以 开启 接口 的 Telnet、Ping、SSH、SNMP 等 功能 。 

Link-group 功能 是 将 多 个 接口 的 状态 相互 绑 定 ， 组 成 一 个 逻辑 组 。 当 组 内 任 一 接口 
出 现 故障 时 ， 系 统 将 组 内 其 他 接口 状态 设置 为 Down。 当 组 内 所 有 接口 恢复 正常 后 ， 整 
个 组 内 的 接口 状态 再 重新 被 设置 为 Up。 绑 定 link-group， 可 以 使 2 个 清洗 口 和 2 个 回 注 
口 的 接口 状态 保持 一 致 。 当 其 中 一 个 接口 状态 为 Down 时 ， 所 有 接口 的 状态 都 设置 为 
Down, 取消 引流 ， 人 


， thernet 3/0/0 ，。 
- [Clean GigabitE ernet3， Ol ndo service monnge cnable 、 
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lean-GigabitEthernet3/0/0] quit 
# 加 入 安全 区 域 如 果 接 口 不 加 入 安全 区 域 ， 会 导致 业务 不 通 。 





步骤 5 打开 域 间 缺 省 包 过 滤 。 

在 缺 省 情况 下 , 禁止 通过 清洗 设备 的 各 域 间 安 全 策略 ， 需 要 配置 域 间 包 过 滤 为 允许 ， 
报 文才 能 正常 通过 清洗 设备 。 在 清洗 设备 上 ， 可 以 不 配置 严格 安全 策略 ， 把 所 有 安全 策 
略 打开 即 可 。 





步 又 6 配置 SNMP V3 功能 。 
我 们 要 同时 在 清洗 设备 和 ATIC 上 配置 SNMP 功能 , 并 保证 配置 参数 一 致 ,这样 ATIC 
才 可 以 获取 清洗 设备 的 状态 信息 。 





步骤 7 配置 清洗 口 。 

清洗 口 一 般 指 的 是 待 清洗 流量 进入 清洗 设备 的 接口 。 在 旁 路 部 署 的 场景 中 ， 清 洗 口 
是 引流 流量 的 入 口 。 从 这 个 接口 进入 清洗 设备 的 流量 ， 都 要 经 过 清洗 模块 ， 所 以 需要 在 
接口 上 指定 接口 类 型 并 配置 流量 统计 功能 。 

流量 统计 功能 是 清洗 设备 对 流量 进行 清洗 的 前 提 条 件 ， 在 清洗 口 务必 开启 流量 统计 
功能 ， 否 则 清洗 功能 不 生效 。 在 缺 省 情况 下， 接口 流量 统计 功能 为 关闭 状态 
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[Clean- GigabitEthernet2/0/1] anti-ddos flow-statistic enable 
[Clean- GigabitEthernet2/0/1] quit 


步骤 8 在 清洗 设备 上 ， 配置 生成 UNR 时 使 用 的 下 一 不 地 址 建议 配置 为 虚 地 址 
(10.10.10.10)。 

在 双 链 路 场景 中 ， 生 成 UNR 使 用 的 下 一 跳 地 址 建议 配置 为 虚 地 址 。 如 果 配 置 为 回 
注 口 直 连 的 路 由 器 接口 IP 地 址 之 一 ， 比 如 本 例 中 的 10.1.3.1 或 者 10.1.1.1 (firewall ddos 
bgp-next-hop10.1.3.1)， 则 可 能 会 有 链 路 可 靠 性 风险 ， 比 如 在 回 注 口 Down 后 ， 会 导致 两 
条 链 路 的 BGP 


<Clean> system-view 
[Clean] firewall ddos bgp-next-hop 10. 10. 101 10 
[clean] ip route-static 10.10.10.103210.131 | 
[Cleanlip routestate 10.10.10.1032101I 
步骤 9 在 清洗 设备 上 配置 BGP 功 E 及 团体 属性 。 
[Clean] route-poliey 1 permit node 1 、 、 。 
[Clean-route- -policy] apply mt no-advertise ， 
[Clean-route-policy] quit ~ | 0 
， [Clean] bgp 100 ，、 、 | 0 
~ [Clean-bgp] peer 10.1.0.1 as-number 100 
[Clean-bgp] Peer 10.1.2. 1 as-number 100— 、 
[Clean- -bgp] import-route ， unr 
[Clean-bgp] ipv4-family unicast 
[Clean- bgp- -af- -ipv4] peer 10. 1. .0.1 Pomtepolley 1 e 
[Clean-bgp-af-ipv4] peer 10.1.0.1 advertise-commun 
~ [Clean-bgp- -af-ipv4] peer 10.1.2.1 route-policy 1 export 
9 [Clean- bgp-af- ipv4] peer 10. 12. 1 advertise-community 
[Clean-bgp-af-ipv4] quit 和 ， 
Cleanbgplauit 
完成 上 述 配置 后 ， 清洗 设备 上 生成 的 UNR R 会 被 引入 到 BGP 二 并 通过 BGP ,发布 
到 Router 上。 这 时 ， 当 Router 收 到 目的 地 址 为 1.1.1.1/32 的 流量 时 ， 通 过 查找 路 由 表 ， 
根据 最 长 掩 码 匹配 原则 ， 优 先 将 流量 从 接口 GE1/0/1 转发 至 清洗 设备 。 


步骤 10 有 GE2/0/1 和 GEIOH en 0 


[Clean] Policy-based-route 
Tm pe pe rule name huizhol 














































ICeanpolioyrphr le nl] guit 
- liey- pbr] rule name huizhu2 _ 


0 pbr edo tn mit 9 os 9 
[Clean-policy-pbr]quit 
步骤 11 人 本 过 时 随时 保存 .下 
<Clean> save os 
3. 配置 ATIC 
步骤 1 登录 ATIC。 
@ 在 浏览 器 中 输入 管理 中 心 卫 地 址 “https://10.1.6.2”， 按 “Enter” 


@ 在 登录 界面 , 输入 用 户 名 、 密 码 和 验证 码 。 用 户 名 为 admin， 密 码 为 Admin@123， 
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@) 第 一 次 登录 ， 修 改 初 始 密码 。 

步骤 2 创建 Anti-DDoS 设备 ， 将 检测 设备 和 清洗 设备 添加 至 ATIC， 如 图 7-39 和 
图 7-40 所 示 。 

@ 选择 “防御 > 网 络 配置 > 设备 ” 

@ 单 击 @ 刍 .。 

e。 JP 地 址 是 指 AntiDDoS8000 管理 口 耻 地 址 。 

。 日 志 源 IP 是 指 AntiDDoS8000 的 日 志 口 卫 地 址 。 

。 日 志 密 码 是 指 上 报 日 志 的 加 密 密 钥 。 当 设备 创建 成 功 后 ，ATIC 将 密 钥 下 发 到 
Anti-DDoS 设备 上 。 

。 STelnet 的 参数 和 SNMP 的 参数 配置 要 和 AntiDDoS8000 设备 的 配置 必须 保持 一 
致 ， 系 统 会 对 其 进行 校 验 。 

@) 单 击 “确定 ”检测 设备 和 清洗 设备 被 成 功 添加 至 ATIC。 





创建 设备 2 关 

设备 信息 

基本 信息 

设备 名 称 : clean ” 。 Ip 地 址 : 10.1.6.1 
类 型 : AntiDDoS | 日 志 源 IP : 10.16.1 区 
日 志 宣 友 : 00s00 
Telnet 人 参数 

类 型 : STELNET 

用 户 名 : atic * 密码 : Re Sen 
公 钥 :; 

提示 : 


1. 如 时 填写 了 公 租 ， 使 用 STELNET、SFTP 抛 议 访问 设备 时 对 设备 进行 公 船 认 证 。 
2 为 了 保证 数据 传 辖 的 安全 性 ， 建 议 填写 公 铀 。 


了 二 类 型 : SNMPY3 ~ * 用户 名 : atic 
环境 名 称 : 环境 引擎 iD : 
授权 认证 擅 议 : HMACSHA > 授权 认证 密码 : “00000000 
数据 加 诸 协 议 : AES128 * 数据 加 密 密 码 : 本 


确定 取消 


图 7-39 创建 清洗 
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创建 设备 3 Xx 


设备 名 称 : detect * 入 地 址 : 10.1.6.3 
类 型 : | AntiDDoS 得 上 日 志 源 iP : 10.1.63 


日 志 密 码 : | eesessseo 

Telnet 参 数 

类 型 ; [sTELNET v 

用 户 名 : | atic ee 
| 


提示 : 
1 如 果 填 写 了 公 船 ， 使 用 STELNET、SFTP 协 议 访 问 设备 时 对 设备 进行 公 般 认证 。 
2 为 了 积 证 数据 传输 的 安全 性 ,建议 填写 公 和 铜 。 


SNMP 参 数 

类 型 Spa 用 户 名 atic 
环境 名 称 : 环境 引擎 iD 

授权 认证 协议 : HMACSHA es 
数据 加 密 协 议 AES128 儿 据 加 窗 密 三 :ee 


图 7-40 创建 检测 设备 


步骤 3 选择 “防御 > 策略 配置 > 防护 对 象 ” 创建 自 定义 防护 对 象 ， 并 配置 防护 对 
象 基 本 信息 。 

添加 设备 时 ， 请 同时 选中 检测 设备 和 清洗 设备 。 

防护 对 象 的 IP 地 址 为 需要 保护 的 服务 器 IP 地 址 ， 不 同业 务 类 型 的 服务 器 ， 创 建 不 
同 的 防护 对 象 。 例 如 ， 针 对 DNS 服务 器 ， 创 建 防护 对 象 dnsZone。 

步骤 4 -配置 DNS 服 务 器 的 防御 策略 。 

DNS 服务 器 主要 承载 DNS 业务 ，DNS 业务 主要 以 端口 号 为 53 和 5060 的 UDP 报 
文 为 主 ， 其 他 端口 的 UDP 业务 和 TCP 业务 报 文 较 少 ， 其 他 类 型 的 报 文 也 很 少 ， 所 以 精 
细 化 防御 以 DNS 防御 策略 为 主 。 

@ 选择 “防御 > 策略 配置 > 防护 对 象 ” 单 击 防护 对 象 dnsZone 对 应 的 瞩 。 

@ 在 “防御 策略 ”页 签 中 ， 单 击 以 basic 开头 的 默认 防御 策略 对 应 的 “操作 ” 列 的 密 。 

@) TCP 防御 : TCP 业务 较 少 ， 配 置 以 限 速 为 主 ， 如 图 7-41 所 示 。 

@ UDP 防御 : 通常 ，DNS 服务 器 上 除了 53 和 5060 以 外 的 其 他 端口 UDP 业务 比 
较 少 ，UDP 限 速 正 是 针对 除 53 和 5060 以 外 的 其 他 端口 UDP 进行 的 ， 所 以 可 开启 限 速 
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功能 ， 如 图 7-42 所 示 。 


配置 防 久 浓 咯 ?x% 
TicP ”UDP ICMP Other DNS SIP HTTP HTTPS TopN 学 习 ” 首 包 检查 
表扬 
权限 流 
只 TCP 限 流 
带 痪 闭 值 (Mbps) lo | (1-10240) 
覆 TCP 人 限 流 
贡 冤 亲信 (Mbps) 5 -01-120) eT 
TCP 新 建 会 话 限 带 
限 汪 从 (注入 数 肥 } 1000¢ 
防御 


导入 策略 模板 导出 策略 模板 确定 取消 


图 7-41 TCP 防御 策略 的 配置 


配置 防 贸 策 略 这 x 
4TCP “UDP ICMP other DNS 1SIP HTTP ”HTIPS 一 TopN 学 习 ， 首 包 检查 » 
5 
万 限 流 
号 ”UDP 限 流 Se a 
带宽 闭 值 (Mbps} 10 "(1-2000000) 
UDP 分 片 限 流 
UDP 新 建 会 话 限 束 
人 注 坊 玉 10000 
防御 


导入 策略 模板 导 击 策 赂 模板 议定 取消 


图 7-42 UDP 防御 策略 的 配置 


@ ICMP 防御 : 在 现 网 中 ， 正 常情 况 下 只 有 少量 的 Ping 报 文 ， 所 以 ICMP 的 限 速 阔 
值 可 以 配置 小 一 点 ， 如 图 7-43 所 示 。 
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配置 防 食 策 路 
MTCP UDP icMP Other DNS SiP HTIP HTTPS TopN 学 习 首 包 检查 


” 限 流 
ICMP 限 流 a 
包 速 率 泣 条 fppsj 500 _ = “ {1-2000000) 
ICMP 新 建 会 话 限 速 
de (不 党 数 丰 } 10000 (A00000} 





导入 策 巾 模板 导出 策略 模板 确定 瑞 消 


图 7-43 ICMP 防御 策略 的 配置 
@ Other 报 文 的 防御 以 限 流 为 主 ， 如 图 7-44 所 示 。 


配置 防 贸 策 略 , 
4TCP UDP iCMP other DNS “SIP HTTP HTTPS TopN 学 习 首 包 检 查 








阻 断 
Y% 限 流 
”YOther 限 流 
带宽 闭 伟 (Mbps) 5 
Other 新 建 会 活 限 速 
天 归 庆 绢 (于 接 数 允 1) 10000 
防御 


导入 策略 模板 导出 策略 模板 确定 取消 


图 7-44 ”Other 防御 策略 的 配置 
@ DNS 防御 : 针对 DNS 服务 器 的 类 型 配置 精细 化 防御 策略 ， 如 图 7-45 所 示 。 


站 
~ 
小 
冯 
区 


配置 防御 策略 
<“TCP UDP iCMP Other DNS SP HTIP HTIPS TopN 学 习 首 包 检查 


| 缓存 服务 器 竺 有 配置 项 
DNS Request Flood 防 御 


























防御 模式 : 被 动 ““。 TCP 认证 全 
多 pps) 20 (0000000) 
| | ,授权 服务 器 特有 配置 项 
DNS Request Flood 防 但 
. 区 
2000 
100 | * (4-80000000} 
5 和 ‘ 
导入 策略 模板 。。 导出 策略 楼 扳 “ 确定 。。 取消 
图 7-45 DNS 防御 策略 的 配置 
HTTP 源 认证 防御 ， 如 图 7-46 所 示 。 
， 配 置 防御 第 略 全 
| TCP UDP ICMP oher DNS SIP ， HTTP HTTPS ”TopN 学 习 ” 首 包 检 查 
| 网 上 
i 
| P 防 御 
| 基于 目的 IP 统 计 本 
包 速 率 沁 值 (pps) 3000 (1-80000000) 
| 请 求 这 过 泣 秆 (qps) [4000 +a0000000) 
| 基于 源 |P 统 计 
| + ”HTTP 尖 认证 防御 
| 防御 模式 302 重 定向 “验证 码 “” cookie 不 认 证 ，，JavaSerip 人 重 定向 
| 失 汪 三 巡 入 相 标 题 没 和 全 
| 源 认 证 终止 条 件 
36 “ft 
| Es @ 
| 号 入 第 模板 。 。 导出 生路 模板。 确定 ”取消 
全 


7-46 _ HTTP 防御 策略 的 配置 
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G@ HTTPS 源 认证 防御 ， 如 图 7-47 所 示 。 


配置 防御 策略 全。 
iTCP UDP ICMP Other DNS siP HTTP HTTPS Top N 学 习 首 包 检查 二 
YY 防御 
YY ”HTTPS 源 认证 防御 
基于 目的 iP 统 计 
包 和 速率 请 值 (pps) 2000 “t1-80900000) 
基于 源 iP 统 计 
SSL 防 御 


导入 策略 模板 导出 策略 模板 确定 取消 


图 7-47 HTTPS 防御 策略 的 配置 


过 滤器 配置 : 除 上 述 防御 策略 以 外 ， 对 于 不 提供 服务 的 端口 ， 可 以 通过 配置 过 
滤器 进行 阻 断 。 

单 击 “过 滤器 ”页 签 ， 单 击 @ 关 &id 吕 。 选 中 ATIC 缺 省 提供 的 除 “DNS_Amplification” 
之 外 的 所 有 过 滤器 模板 ， 单 击 “ 确 定 ”。 

步骤 5 部 署 防御 策略 。 

Q 选择 “防御 > 策略 配置 > 防护 对 象 ” 选中 防护 对 象 前 的 复 选 框 ， 单 击 芯 部署 。 

@ 单 击 “ 确 定 ” 显示 部 署 的 进度 提示 ， 完 成 部 署 后 进度 提示 自动 关闭 。 

步骤 6 基线 学 习 。 

选择 “防御 > 策略 配置 > 防护 对 象 ” 单 击 “ 基 线 学 习 状 态 ” 列 的 具体 状态 ， 开 启 
基线 学 习 功 能 ， 如 图 7-48 所 示 。 

基线 学 习 不 需要 配置 策略 ， 只 要 有 流量 经 过 设备 即 可 。 

步骤 7 调整 阐 值 和 一 

一 般 情况 下 ， 如 果 应 用 基线 学 习 的 数据 后 ， 出 现 的 告警 比较 多 ， 则 需要 对 阔 值 或 者 
其 他 参数 进行 适当 调整 。 

Q@ 将 抽样 比 调整 为 0， 即 统计 每 个 报 文 。 如 果 抽 样 比 配 置 过 大 ， 当 流量 比较 小 的 时 
候 ，” 统 计 出 来 的 值 容易 失真 和 跳 变 。 一 般 情况 下 ， 如 果 总 流量 小 于 1GB， 都 可 以 将 抽样 
比 配置 为 0。 

@ 查看 该 防护 对 象 的 流量 TopN 无 攻击 的 情况 下 )， 选 取 流量 最 大 的 PP， 并 以 此 
IP 查看 各 种 协议 的 流量 对 比 〈 统 计 方 式 选择 峰值 )， 时 间 跨 度 选择 一 周 即 可 。 然 后 使 用 
每 种 流量 峰值 的 2 倍数 值 作为 相应 防范 的 闵 值 ,6 如果 流量 峰值 比较 小 ,比如 只 有 几 十 pps， 


建议 直接 使 用 默认 值 作为 阔 值 。 




















































































































创建 基线 学 习 任务 3 关 
基线 名 称 test 
学 习 必 期 (天 ) 7 *{1-90) 
当前 入 权重 8 "% 国 
天 6 时间: ”马上 启动 自 定义 时 间 
结 索 时 间 : 4 手动 停止 自 定义 时 间 
自动 生效 。 @ 


CE。 


图 7-48 ”基线 学 习 


步骤 8 保存 配置 。 

@ 选择 “防御 > 策略 配置 > 设备 全 局 配置 ” 选中 Anti-DDoS 设备 前 的 复 选 框 ， 单 
击 。 恒 保 夺 设备 配置 。 

@ 单 击 “ 确 定 ” 显示 保存 的 进度 ， 完 成 保存 后 ， 进 度 提示 自动 关闭 。 

4. Routerl 的 配置 过 程 

下 面 以 华为 路 由 器 NE80E 为 例 ， 介 绍 Routerl 的 BGP 和 策略 路 由 的 配置 过 程 。 
不 同 版 本 的 路 由 器 配置 不 同 ， 请 根据 实际 路 由 器 版 本 进行 配置 ， 以 下 配置 仅 供 
参考 。 

步骤 1 配置 Routerl 接口 的 IP 地址 。 

步骤 2 配置 Routerl 的 BGP 功能 。 


[Routerl] bgp 100 
[Routerl-bgp] peer 10.1.0.2 as-number 100 
[Routerl-bgp] quit 


步骤 3 在 Routerl 接口 GE1/0/2 配置 策略 路 由 。 
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定义 流 分 类 。 

[Routerl] acl 3001 

[Routerl-acl-adv-3001] rule permit ip 

[Routerl-acl-adv-3001] quit 

[Routerl] traffic classifier classl 

[Routerl-classifier-class1] if-match acl 3001 

[Routerl-classifier-class1] quit 

配置 流行 为 并 配置 报 文 转发 动作 。 

[Routerl] traffic behavior behaviorl 

[Routerl-behaviorbehaviorl] redirect ip-nexthop 10.1.4.2 interface GigabitEthernet 1/0/3 
[Routerl1:behavior-behaviorl1] quit 

定义 流量 策略 并 在 策略 中 为 类 指定 行为 。 

[Routerl] traffic policy policy1 = 

[Routerl -trafficpolicy-policy1] classifier classl behavior behavior1 
[Routerl-trafficpolicy-policy1] quit 

在 接口 上 应 用 策略 路 由 。 
[Routerl] interface GigabitEthernet 1/0/2 

[Routerl-GigabitEthernet1/0/2] traffic-policy policyl inbound 

[Routerl-GigabitEthernet1/0/2] quit 

5. Router2 的 配置 过 程 

下 面 以 华为 路 由 器 NE80E 为 例 ， 介 绍 Router2 的 BGP 和 策略 路 由 的 配置 过 程 。 

不 同 版 本 的 路 由 器 配置 不 同 ， 请 根据 实际 路 由 器 版 本 进行 配置 ， 以 下 配置 仅 供 
参考 。 

步骤 1 配置 Router2 接口 的 IP 地 址 。 

步骤 2 配置 Router2 的 BGP 功能 。 

[Routerl] bgp 100 
-Routerl-bgpl] peer 10.1.2.2 as-number 100 

[Routerl-bgp] quit 


步骤 3 在 Router2 接口 GE1/0/2 配置 策略 路 由 。 

[Routerl] acl 3001 

[Routerl-acl-adv-3001] rule permit ip 

[Routerl-acl-adv-3001] quit 

[Routerl] traffic classifier class1 

[Routerl-classifier-class1] if-match acl 3001 

[Routerl-classifier-class1] quit 

配置 流行 为 并 配置 报 文 转发 动作 。 
[Routerijtrafficbehaviorbetraviorr 

[Routerl-behavior-behaviorl| redirect ip-nexthop 10.1.5.2 interface GigabitEthernet 1/0/3 
[Routerl-behavior-behaviorl | quit | 
定义 流量 策略 并 在 策略 中 为 类 指定 行为 。 

[Routerl] traffic policy policy1 

[Routerl-trafficpolicy-policy1] classifier classl behavior behaviorl 
[Routerl-trafficpolicy-policy1] quit 


在 接口 上 应 用 策略 路 由 。 


[Routerl] interface GigabitEthernet 1/0/2 
[Routerl-GigabitEthernet1/0/2] traffic-policy policyl inbound 
[Routerl-GigabitEthernet1/0/2] quit 
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7.4 企业 园区 防护 


随 着 网 络 技术 的 不 断 发 展 以 及 网 络 的 广泛 应 用 ， 企 业 园区 作为 最 广泛 的 应 用 网 络 ， 
面临 着 越 来 越 多 的 攻击 。 企 业 园区 既 要 抵御 来 自 外 网 的 黑客 攻击 、 病 毒 攻击 、DDoS 攻 
击 、 木 马 攻击 、 亚 意 程序 攻击 ， 还 要 确保 业务 应 用 畅通 ， 如 图 7-49 所 示 。 

针对 企业 园区 流量 特点 ， 在 规划 时 从 以 下 几 个 方面 考虑 。 





”内 部 网 络 
图 7-49 企业 园区 组 网 


7.4.1 规划 思路 


(1) 设备 选择 

从 检测 技术 方面 考虑 ， 在 通常 情况 下 ， 企 业 园区 的 网 络 规模 比较 小 ， 带 宽 不 大 (小 
于 SGbitfs)， 如 果 采 用 逐 流 检 测 ， 在 流量 比较 小 的 情况 下 ， 统 计 结 果 容 易 失 真 。 所 以 为 了 保 
证 检测 的 精准 度 , 并 结合 网 络 带宽 情况 , 推荐 使 用 可 以 逐 包 检测 的 华为 AntiDDoS1600 设备 。 

AntiDDoS1600 系列 设备 包含 两 个 型 号 的 产品 : AntiDDoS1650 和 AntiDDoS1680。 
两 个 产品 均 为 集中 式 设备 形态 ， 但 一 个 是 1U 设备 ， 一 个 是 3U 设备 ， 两 者 性 能 不 同 。 

从 商务 方面 考虑 , AntiDDoS1600 是 华为 的 中 低 端 AntiDDoS 产品 , 成 本 低 , 功能 全 ， 
适合 小 型 企业 园区 采购 。 

(2) 部 署 方 式 

AntiDDoS1600 文 持 内 置 Bypass 卡 ， 直 路 部 署 方式 可 以 满足 基本 的 网 络 需 求 。 
AntiDDoS1600 作为 清洗 设备 以 透明 模式 直路 接 入 ， 不 影响 网 络 拓扑 ;同时 内 置 Bypass 
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卡 ， 提 供 两 条 Bypass 链 路 。 

当 AntiDDoS1600 正常 工作 时 ， 一 对 Bypass 接口 不 直接 连通 ,流量 经 过 
AntiDDoS1600 设备 处 理 ; 当 AntiDDoS1600 下 电 或 者 出 现 故 障 时 ， 上 、 下 游 设 备 通过 一 
对 Bypass 接口 直 连 ， 流 量 不 经 过 AntiDDoS1600 设备 处 理 。 这 样 确保 了 业务 不 会 被 中 断 ， 
可 靠 性 增强 ， 避 免 出 现 单 点 故障 。 

在 直路 部 署 方式 中 ， 所 有 报 文 实时 经 过 AntiDDoS1600，AntiDDoS1600 可 对 报 文 进行 
实时 统计 和 检测 ， 一 旦 发 生 攻 击 ， 立 即 启动 防御 ， 没 有 延 时 。 直 路 部 署 无 需 部 署 检测 设备 。 

(3) 流量 引导 方式 

直路 部 署 流量 ， 不 涉及 引流 回 注 。 

(4) License 控制 

AntiDDoS1600 不 支持 License 控制 。 s 

AntiDDoS1600 有 两 种 设备 形态 : 检测 设备 和 清洗 设备 。 设 备 出 三 时 ， 缺 省 是 清洗 
设备 ， 可 以 通过 命令 行 配置 ， 由 清洗 设备 切换 为 检测 设备 。 

(5) 接口 规划 

由 于 是 直路 部 署 ， 因 此 AntiDDoS1600 设备 Bypass 卡 上 的 接口 与 上 下 行 设备 相连 。 
除 此 之 外 ，AntiDDoS1600 还 要 规划 一 个 管理 口 和 一 个 日 志 口 ， 与 ATIC 互通 。 

作为 清洗 设备 ，AntiDDoS1600 与 ATIC 通信 的 管理 接口 和 日 志 接 口 ， 可 以 是 同一 接 
口 ， 也 可 以 是 不 同 接口 。 任 何 接口 均 可 作为 与 ATIC 通信 的 管理 接口 及 发 送 日 志 的 接口 。 
为 了 避免 发 生 攻 击 时 CPU 使 用 率 过 高 ， 设 备 托 管 ， 建 议 管理 口 用 GigabitEthernet0/0/0， 
日 志 口 用 另外 一 个 单独 的 接口 。 

如 果 AntiDDoS1600 作为 检测 设备 , 只 能 用 GigabitEthernet0/0/0 作为 与 ATIC 通信 的 
管理 接口 和 发 送 日 志 的 接口 。 本 案例 中 AntiDDoS1600 不 作为 检测 设备 。 

(6) 防御 策略 

首先 明确 设备 要 防护 的 目标 全 , 针对 目标 建立 防护 对 象 , 然后 配置 相应 的 防护 策略 。 
对 于 其 他 不 明确 的 目标 ， 配 置 默认 防护 对 象 的 防御 策略 来 防御 。 

例如 ， 网 络 中 有 3 台 Web 服务 器 、2 台 DNS 服务 器 以 及 5 台 游 戏 服务 器 。 不 同 的 
服务 器 配置 不 同 的 防御 策略 ， 像 Web 服务 器 重点 配置 HTTP 类 的 防御 策略 ，DNS 服务 
器 则 重点 配置 DNS 类 的 防御 策略 ， 游 戏 服务 器 则 重点 配置 UDP/TCP 类 的 防御 策略 。 

如 果 我 们 为 每 一 个 服务 器 建立 一 个 防护 对 象 ， 则 需要 建立 10 个 防护 对 象 ， 配 置 起 
来 比较 麻烦 。 如 果 同 一 类 型 的 服务 器 业务 基本 相同 ， 则 可 以 只 配置 3 个 防护 对 象 ， 即 针 
对 Web 服务 器 DNS 服务 器 和 游戏 服务 器 的 3 个 防护 对 象 ， 然后， 在 每 一 个 防护 对 象 
中 将 多 个 服务 器 的 他 地 址 添加 进来 〈 每 个 防护 对 象 可 以 配置 多 个 人 P 或 者 网 段 );， 最 后 ， 
再 配置 相应 的 防御 策略 ， 这 样 每 一 类 服务 器 只 需要 配置 一 次 策略 。 

配置 完成 后 ， 就 完成 了 对 重点 目标 的 防护 ， 我 们 也 可 以 对 企业 园区 中 其 他 的 网 络 资 
源 使 用 默认 防护 对 象 的 防御 策略 进行 防御 。 

(7) 安全 策略 规划 

在 缺 省 情况 下 ，AntiDDoS1600 设备 上 的 安全 策略 是 关闭 的 ， 但 可 以 打开 缺 省 包 过 滤 。 

(ATIC 

ATIC 由 管理 中 心服 务 器 和 采集 器 两 部 分 组 成 ， 并 有 两 种 部 署 方式 。 
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G@ 集中 式 部 署 : ATIC 服务 器 和 采集 器 同时 安装 在 同一 台 物 理 服务 器 上 。 

@ 分 布 式 部 署 ; ATIC 服务 器 和 采集 器 分 别 安装 在 不 同 的 物理 服务 器 上 ， 多 人 台 采 集 
器 可 以 共用 一 台 ATIC 服务 器 ， 一 台 ATIC 服务 器 最 多 可 管理 20 台 采 集 器 。 

一 台 采 集 器 可 以 处 理 大 约 30 万 个 卫 地 址 的 Anti-DDoS 业务 日 志 ， 可 以 根据 防护 对 
象 的 全 地 址 个 数 来 选择 ATIC 部 署 方式 。 设 备 旁 路 部 署 时 ， 如 果 多 台 设 备 部 署 地 比较 分 
散 ， 建 议 配 置 多 台 采 集 器 。 

在 本 例 中 ， 采 用 ATIC 集中 式 部 署 即 可 满足 组 网 需求 。 

(9) 路 由 规划 

清洗 设备 和 ATIC 之 间 要 路 由 可 达 。 


7.4.2 ”典型 组 网 


如 图 7-50、 图 7-51 所 示 ，AntiDDoS1600 设备 (清洗 设备 ) 直路 部 署 在 企业 入 口 处 ， 
对 进入 企业 园区 的 流量 进行 实时 检测 。 一 且 出 现 攻 击 , AntiDDoS1600 设备 立即 启动 防 
御 措施 ， 对 流量 进行 清洗 ， 阻 断 攻 击 流量 ， 转 发 正常 流量 。 





© 当 清 洗 设 备 正常 工作 时 ， 清 洗 设备 先 处 理 所 有 流量 ， 再 转发 


二 


正常 网 络 














一 -一 > 正常 流量 
一 一 一 也 攻击 流量 


“内 部 网 络 
图 7-50 清洗 设备 正常 工作 时 流量 走向 
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© 当 清 洗 设 备 故 障 或 下 电 时 ， 所 有 流量 直接 由 Bypass 卡 转发 ， 清 洗 设备 不 再 处 理 





内 置 Bypass 卡 ， 





内 部 网 络 
图 7-51 清洗 设备 故障 时 流量 的 走向 


7.4.3 ”数据 规划 
AntiDDoS1600 和 ATIC 的 IP 地 址 规划 见 表 7-7。IP 地 址 规划 图 如 图 7-52 所 示 。 
表 7-7 _ 下 地 址 规划 表 

设备 名 称 | 接 | 本 





Er 区 Bypass 卡 接口 ， 下 行 流量 入 接口 ， 该 设备 与 上 游 设备 直 连 
ago | -| Bypass 卡 接口 ， 下 行 流量 出 接口 ， 该 设备 与 下 游 设备 直 连 


管理 口 。 用 于 ATIC 管理 AntiDDoS1600 设备 。 此 接口 卫 
. GE0/0/0 | 10.1.6.1/24 | 地 址 与 管理 中 心 人 地 址 必须 路 由 可 达 ， 本 案例 中 ， 此 接口 
A 下 地 址 与 管理 中 心 在 同一 网 自 


日 志 口 。 用 于 AntiDDoS1600 设备 向 ATIC 发 送 日 志 。 
AntiDDoS1600 设备 将 日 志 报 文 / 抓 包 报 文 发 送 至 管理 中 
GE2/0/0 | 10.1.7.1/24 | 心 的 Anti-DDoS 采集 器 , 供 Anti-DDoS 采集 器 分 析 以 及 
进行 后 续 处 理 。 

此 接口 IP 地 址 与 管理 中 心 PP 地 址 必须 路 由 可 达 


ATIC 号 3 10.1.6.2/24 | 管理 中 心 与 AntiDDoS1600 设备 路 由 可 达 
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GEO/0/ 
10.1.6.1/24f 






川村 10.17.1/24 人 
清洗 设备 交换 机 ATIC 
NS ， 10.1.62/24 











一 -一 > 正常 流量 
一 一 一 了 > 攻击 流量 


图 7-52” IP 地 址 规划 


7.4.4 配置 思路 


1. 在 AntiDDoS1600 设备 上 需要 完成 以 下 主要 功能 的 配置 
Q@ 在 二 层 配 置 上 、 下 行 接口 。 

@ 接口 加 入 安全 区 域 ， 并 打开 域 间 缺 省 包 过 滤 。 

@ 配置 与 ATIC 通信 的 管理 口 耻 地 址 和 日 志 口 卫 地址 。 
由 配置 STelnet 功能 。 


@@ 配置 SNMP 功能 ， 使 管理 中 心 可 以 获取 AntiDDoS1600 设备 的 状态 。 


@ 在 AntiDDoS1600 设备 的 流量 入 接口 开启 流量 统计 功能 。 
@ 保存 配置 。 

2. ATIC 需要 完成 以 下 主要 功能 的 配置 

Q@ 登录 ATIC。 

@ 创建 Anti-DDoS。 

@) 配置 相应 的 防御 策略 。 

@ 配置 基线 学 习 功 能 ， 并 对 防御 阔 值 进行 调整 。 

@@ 保存 配置 。 
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7.4.5 ”配置 过 程 


1. 配置 清洗 设备 

步骤 1 在 二 层 配置 上 、 下 行 接口 ， 并 将 各 接口 加 入 相应 的 安全 区 域 。 

在 直路 部 署 Bypass 的 场景 中 , 与 上 、 下 行 设备 直 连 的 接口 使 用 Bypass 卡 上 的 接口 。 
上 、 下 行 接口 工作 在 二 层 ， 无 须 配 置 IP 地 址 。 


[AntiDDoS] interface GigabitEthernet 1/0/1 

[AntiDDoS-GigabitEthernet1/0/1] undo service-manage enable 
[AntiDDoS-GigabitEthernet1/0/1] portswitch 

[AntiDDoS-GigabitEthernet1/0/1] port link-type access 

[AntiDDoS-GigabitEthernet1/0/1] port default vlan 1000 

[AntiDDoS-GigabitEthernet1/0/1] quit 

[AntiDDoS] interface GigabitEthernet 1/0/2 ~ 
[AntiDDoS-GigabitEthernet1/0/2] undo service-manage enable \ 
[AntiDDoS-GigabitEthernet1/0/2] portswitch 

[AntiDDoS-GigabitEthernet1/0/2] port link-type access 

[AntiDDoS-GigabitEthernet1/0/2] port default vlan 1000 

[AntiDDoS-GigabitEthernet1/0/2] quit 一 一 


步骤 2 配置 日 志 口 和 管理 口 IP 地 址 。 
在 本 案例 中 ，AntiDDoS1600 i et 并 分 别 设置 为 不 同 的 接口 。 
后 续 在 ATIC 创建 设备 时 ， 会 具体 指定 哪个 接口 是 管理 口 ， 哪个 接口 是 日 志 口 。 


[AntiDDoS] interface GigabitEthernet 2/0/0 
[AntiDDoS-GigabitEthernet2/0/0] undo service-manage enable 
[AntiDDoS-GigabitEthernet2/0/0] ip address 10.1.7.1 24 
[AntiDDoS-GigabitEthernet2/0/0] quit 

[AntiDDoS] interface GigabitEthernet 0/0/0 
[AntiDDoS-GigabitEthernet0/0/0] undo service-manage enable 
[AntiDDoS-GigabitEthernet0/0/0] ip address 10.1.6.1 24 
[AntiDDoS-GigabitEthermnet0/0/0] quit 

步骤 3 接口 加 入 安全 区 域 。 如 果 接 口 不 加 入 安全 区 域 ， 则 会 导致 业务 不 通 。 
[AntiDDoS] firewall zone trust : 
[AntiDDoS-zone-trust] add interface GigabitEthernet IO 
[AntiDDoS-zone-trust] add interface GigabitEthernet 1/0/2 
[AntiDDoS-zone-trust] add interface GigabitEthernet 2/0/0 
[AntiDDoS-zone-trust] add interface GigabitEthernet 0/0/0 
[AntiDDoS-zone-trust] quit 


步骤 4 打开 域 间 缺 省 安全 策略 。 

在 缺 省 情况 下 ，AntiDDoS1600 的 各 域 间 安 全 策略 是 禁止 通过 的 ， 需 要 配置 域 间 包 
过 滤 为 允许 ， 报 文才 能 正常 通过 AntiDDoS1600 设备 。 在 AntiDDoS1600 上 ， 可 以 不 配 
置 严格 安全 策略 ， 把 所 有 安全 策略 打开 即 可 。 


[AntiDDoS] security-policy 
[AntiDDoS-policy-security] default action permit 
[AntiDDoS-policy-security] quit 


步骤 5 配置 STelnet 功能 。 

配置 STelnet 功能 是 为 了 实现 ATIC 对 AntiDDoS1600 设备 的 管理 ， 比 如 防御 策略 的 
下 发 、 引 流 策略 的 下 发 等 。ATIC 和 AntiDDoS1600 设备 中 STelnet 参数 的 配置 要 保持 完 
全 一 致 。 

[AntiDDoS] user-interface vty 0 4 

[AntiDDoS-ui-vty0-4] authentication-mode aaa 
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[AntiDDoS-ui-vty0-4] user privilege level 3 

[AntiDDoS-ui-vty0-4] protocol inbound ssh 

[AntiDDoS-ui-vty0-4] quit 

[AntiDDoS] aaa 

[AntiDDoS-aaa] manager-user atic 

[AntiDDoS-aaa-manager-user-atic] password 

Enter Password: 

Confirm Password: 

[AntiDDoS-aaa-manager-user-atic] service-type ssh 

[AntiDDoS-aaa-manager-user-atic] level 15 

[AntiDDoS-aaa-manager-user-atic] quit 

[AntiDDoS-aaa] quit 

[AntiDDoS] rsa local-key-pair create 

The key name will be: AntiDDoS Host ne 
The range of public key size is (512 ~ 2048). 

NOTES: A key shorter than 1024 bits may cause security risks. 

The generation of a key longer than 512 bits may take several minutes. 
Input the bits in the modulus[default = 2048]: 
Generating keys... 





[AntiDDoS] stelnet server enable 
[AntiDDoS] ssh aser admin 

[AntiDDoS] ssh user atic authentication-type password 
[AntiDDoS] ssh user atic service-type stelnet J 


步骤 6 配置 SNMP V3 功能 。 
要 同时 在 AntiDDoS1600 设备 和 ATIC 配置 SNMP 功能 ， 并 确保 配置 参数 一 致 ， 这 
样 ATIC 才 可 以 获取 AntiDDoS1600 设备 的 状态 信息 。 


[AntiDDoS] acl 2998 

[AntiDDoS-acl-basic-2998] rule permit source 10.1.6.2 0 description for snmp access 

[AntiDDoS-acl-basic-2998] quit 

[AntiDDoS] snmp-agent acl 2998 Sa 
[AntiDDoS] snmp-agent sys-info version v3 

[AntiDDoS] snmp-agent group v3 atic privacy acl 2998 

[AntiDDoS] snmp-agent usm-user v3 atic 

[AntiDDoS] snmp-agent usm-user v3 atic group atic 

[AntiDDoS] snmp-agent usm-user v3 atic authentication-mode sha 

Please configure the authentication password (8-64) 

Enter Password: 

Confirm Password: ， 

[AntiDDoS] snmp-agent usm-user v3 atic privacy-mode aes128 

Please configure the privacy password (8-64) 

Enter Password: 

Confirm Password: 


步骤 7 配置 流量 统计 功能 。 

流量 统计 功能 是 清洗 设备 对 流量 进行 清洗 的 前 提 条 件 ， 在 清洗 口 务必 开启 流量 统计 
功能 ， 否 则 清洗 功能 不 生效 。 在 缺 省 情况 下 ， 接 口 流 量 统计 功能 为 关闭 状态 。 

[AntiDDoS] interface GigabitEthernet 1/0/1 ; 


[AntiDDoS-GigabitEthernet1/0/1] anti-ddos flow-statistic enable 
[AntiDDoS-GigabitEthernet1/0/1] quit 


步骤 8 保存 配置 。 


<AntiDDoS> save 


去 
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2. 配置 ATIC 

步骤 1 登录 ATIC。 

Q@ 在 浏览 器 中 输入 管理 中 心 卫 地 址 ， 按 “Enter”。 

在 登录 界面 输入 用 户 名 、 密 码 和 验证 码 。 初 始 用 户 名 为 admin， 密 码 为 Admin@123， 
单 击 “ 登 录 ”。 在 第 一 次 登录 后 ， 请 修改 初始 密码 。 

步骤 2 创建 Anti-DDoS。 

Q 选择 “防御 > 网 络 配置 > 设备 ” 如 图 7-53 所 示 。 

@) 单 击 @@ 挺 。 

。JIP 地 址 是 指 AntiDDoS1600 管理 口 的 卫 地 址 。 

。 日 志 源 卫 是 指 AntiDDoS1600 的 日 志 口 IP 地址。 

。 日 志 密 码 是 指 上 报 日 志 的 加 密 密 钥 。 当 创建 设备 成 功 后 ，ATIC 将 密 钥 下 发 到 


AntiDDoS1600 设备 上 。 
。 STelnet 的 参数 和 SNMP 的 参数 配置 与 AntiDDoS1600 设备 的 配置 必须 保持 一 致 ， 
系统 会 对 其 进行 校 验 。 
@) 单 击 “ 确 定 ” AntiDDoS1600 设备 被 成 功 添加 到 设备 列表 中 。 
创建 设备 SR 
设备 信息 
基本 信息 
设备 名 称 : AntiDDos1600 IP 地 址 : | 10161 
类 型 : AntiDDos 各 日 志 蚌 p : 
es 
Teinet 参 数 
类 型 STELNET 
用 户 名 |atc :ee 
公 和 组 : | 
i 


1 如 果 填 写 了 公 负 , 使用 STELNET、SFTP 协 议 访问 设备 时 对 没 备 进行 公 己 认证 。 
2 为 了 保证 数据 传 边 的 安全 性 ， 建 议 填写 公 角 、 


SNMP 和 参数 

类 型 : .SNMPV3 : F= 用 户 名 : atic 

环境 名 称 环境 引擎 ID 

摄 权 认 证 协议 HMACSHA 报 权 认证 密码 : reams 
数据 加 灾 协 议 AES128 省 洪 畴 宙 害 三: \ | ooooeeose 


图 7-53 ”创建 Anti-DDoS 
步骤 3 选择 “防御 > 策略 配置 > 防护 对 象 ”， 创 建 自 定 义 防 护 对 象 ， 并 配置 防护 对 
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象 基本 信息 。 

步骤 4 配置 防御 策略 。 

在 配置 防御 策略 时 ， 先 甄别 出 需要 重点 保护 的 目的 瑟 地址 , 加 入 到 自 定义 防护 对 象 
中 ， 并 基于 自 定 义 防 护 对 象 配置 相应 的 防御 策略 ， 对 于 不 确定 是 否 要 保护 的 目的 卫 地 
址 ， 则 用 默认 防护 对 象 防御 策略 进行 保护 。 防 御 策 略 的 配置 要 结合 实际 网 络 业务 的 特征 
进行 配置 ， 下 面 以 通用 防御 策略 进行 介绍 ， 仅 作 参 考 。 现 网 配置 时 ， 请 根据 实际 情况 进 
行 调整 。 

G@ 选择 “防御 > 策略 配置 > 防护 对 象 ” 创建 并 单 击 默认 防护 对 象 对 应 的 辟 ， 配 置 
防御 模式 ， 如 图 7-54 所 示 。 








防护 第 客 (Mbps) 1000 “{1-2000000) 入 流量 超 规 络 启 动 限 流 ®@ 
过 涉 崩 去 直 说 值 pps) 200 “(1-80000000) 多 
引流 模式 自动 执行 ”手动 确认 国 | 
防 物 模式 自动 执行 手动 确认 @ | 
动态 申 名 单 模式 自动 关闭 全 | 
单 号 的 |P 限 流 开启 ® | 
Pp 信 汶 开启 @ | 
新 建 会 话 限 种 开启 0 全 
入 级 黑洞 开启 @ 
恶意 流量 过 小 pos 攻击 工具 @ 
确定 。 关闭 


图 7-54 ”防御 模式 的 配置 


@) 在 “防御 策略 ”页 签 中 ， 单 击 以 basic 开头 的 默认 防御 策略 对 应 的 “操作 ” 列 
的 嘱 。 

@ 配置 TCP 通用 防御 策略 。 防 御 阔 值 可 以 根据 基线 学 习 的 结果 进行 调整 ， 如 图 7-55 
所 示 。 

配置 ACK Flood 防御 时 ， 严 格 模式 的 防御 效果 优 于 宽松 模式 的 防御 效果 。 

。 在 直路 部 署 时 ， 推 荐 使 用 严格 模式 。 业 务 不 会 出 现 中 断 ， 防 御 效 果 也 要 优 于 宽松 
模式 。 

。 在 旁 路 部 署 时 ， 建 议 使 用 宽松 模式 。 如 果 在 旁 路 部 署 时 使 用 严格 模式 ， 根 据 严格 
模式 防御 原理 ， 业 务 在 引流 后 ，ACK 报 文 命中 的 会 话 必须 是 由 SYN 或 SYN-ACK 建立 ， 
否则 报 文 会 被 丢弃 ， 在 会 话 重建 后 业务 才 会 正常 运行 。 
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配置 防御 策略 | . 
4TcP UDP ICMP other DNS SP HTTP HTTPS TopN 学 习 首 包 检查 
%% ”防御 
了 TCPS 常 报 文 防御 
人 (pps) Lo reo00000) 
六 TCP 基 本 防御 
了 SYN Food 肪 外 
认证 模式 : error-seq ® right-seq 
ee 人 汪 [aay 
了 淹 P SYN 报 文 比例 异常 限 速 
SYN-Ratio 比 例 阅 值 (%6) : [so i | (0-400) 
SS i 
SYN 撒 文 个 数 限 束 泣 值 (个 ) : [200 e0000000) 
hy Ci 多 
汪 ACK Flood 防 币 
他 这 过 涪 入 (pps) : "(1-80000000) 
小 TCP 分 片 攻击 防御 
全 着 (ppe)- 2 (80000000) 
-| FINRST Flood 防 御 1 
他 汉 六 人 (pps) [so oaoonooog) 
YY TCP 连 按 耗 尽 攻击 防御 
目的 |P 地 址 并 发 连接 数 检查 Es 
连接 数 阔 乔 : La (80000000) 
目的 iP 地 址 新 建 连接 速率 检查 
0 000 0000000) 
， 源 IP 地 址 新 建 连 这 速率 检查 
过 仿 200 
5 0 
” 沪 iP 地 址 连接 数 检 查 
过 按 数 竟 潮 500 
”异常 会 话 检查 
人 EE 
检查 周 其 ( 秒 ) 15 0) 
全 这 报信 下: 1 ,a5) 
检查 周 关 (的): En A 2 2 
~ 醒 传 会 活检 查 
R002) 
“Socksiress 
TCP 窗 口 大 小 较 值 ( 字 节 ) : [10 tes) 





导入 策略 模板 导出 策 赂 模板 确定 取消 


图 7-55 TCP 防御 策略 的 配置 


外 图 7-55 中 的 配置 在 攻击 时 仅 能 告警 ， 只 有 配置 动态 黑 名 单 功能 才能 进行 流量 清 
洗 ， 建 议 在 应 急 的 时 候 再 开启 动态 黑 名 单 功能 。 开 启 方法 如 图 7-56 所 示 。 
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LF 菊 认 防 护 对 象 的 防御 第 略 ox 
防御 模式 ，、 过 小 中 。 ”位 置 策略 ”防御 策略 
护 护 带 宽 (Mbps) 1000 "(1-2000000} 入 流量 超 规格 言 动 限 流 @ 
过 洲 器 去 茎 这 秆 (pps) 100 * {1-80000000) @ 
引流 模式 3 自动 执行 “手动 确认 @ 
防 儿 模式 : * ;自动 执行 “手动 确 兴 @ 
praogr oa © 
单 且 的 iP 职 流 开启 于 本 项 (ME 100 @ 
Pp 信誉 开启 2900 傅 
新 建 会 活 限 过 天 高 30008 @ 
秘 级 蛙 尝 开启 黑 沉 二 介 445 106 30 一 二 一 一 一 i 于 二 人 
恶意 流量 这 小 : DoS 攻 击 工具 多 
确定 关闭 
图 7-56 ”开启 动态 黑 名 单 
@ 配置 UDP 通用 防御 策略 ， 如 图 7-57 所 示 。 
配置 防 食 策 略 、 二 


, TCP UDP ‘ICMP Other DNS SIP HTTP HTTRS “TopN 学 习 首 包 检查 





阳 断 
w 限 流 
各 a i 
带宽 漳 信 (Mbps) 500 “(12900000) 
Y ”UDP 分 片 限 流 
带宽 认 值 (Mbps} 50 * (1-2000000) 
UDP 新 建 会 话 限 速 
息 速 辣 利 (连接 数 放 10060 (400000) 
防御 


导入 策略 模板 导出 策略 模板 确定 现 消 


图 7-57 UDP 防御 策略 的 配置 


@ 配置 ICMP 通用 防御 策略 ， 如 图 7-58 所 示 。 


238 华为 Anti-DDoS 技术 漫谈 


配置 防 每 策略 3 
TCcP UDP ICMP Other BNS SP HTIP HTIPS “TopN 学 习 首 包 检查 » 
罩 断 
交 中流 
Y ICMP 限 流 
包 速 率 泣 信 (pps) : 500 “(1-2000000) 
ICMP 新 建 会 话 限 速 
和 ( 壬 控 10000 


导入 策略 模板 导出 策略 模板 确定 取消 


图 7-58- ICMP 防御 策略 的 配置 


Q@ 配置 Other 协议 通用 防御 策略 ， 如 图 7-59 所 示 。 

如 果 可 以 确认 访问 被 保护 的 网 络 流 量 只 有 TCP、UDP、ICMP 业务 ， 不 包含 IPSec、 
”GRE、IGMP 等 其 他 协议 ， 建 议 开启 限 流 ， 防 御 效果 会 更 好 。 

如 果 存在 PSec、GRE、IGMP 等 其 他 协议 ， 则 不 能 开启 限 流 ， 否 则 会 影响 正常 业务 。 


配置 防 伍 策略 全 兴 
4TCP UDP ICMP other -DNS SIP HTTP HTTPS “TopN 学 习 首 包 检查 > 
绷 浙 
路 法 
7 驴 逢 _ 
这 宽 泣 值 (Mbps) 50 “(1-2000000) 


导入 策略 模板 导出 策 赂 模板 确定 取消 


图 7-59 Other 防御 策略 的 配置 
配置 DNS 协议 通用 防御 策略 ， 如 图 7-60 所 示 。 





导入 策 赂 楼 板 
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被 动 ” ”FCP 认证 鳞 
2000 * {1-80000000) 
图 
2000 {1-80000000) 


100 “ {1-80000000) 


导出 策 路 模板 确定 取 浅 


图 7-60 DNS 防御 策略 的 配置 


@ 配置 HTTP 协议 通用 防御 策略 ， 如 图 7-61 所 示 。 
多 数 用 户 的 浏览 器 和 App 都 有 完整 的 HTTP 协议 栈 ， 因 此 可 以 顺利 通过 “302 重 定 
向 ” 当 流 量 超过 阔 值 触发 防御 后 , 用 户 感知 不 到 认证 过 程 , 业务 访问 没有 受到 任何 影响 。 
但 少数 个 别 的 App 和 程序 可 能 使 用 不 完整 的 HTTP 协议 栈 ， 无 法 通过 HTTP“302 重 定 
向 ”的 认证 ， 导 致 业务 受到 影响 ， 这 时 需要 关闭 HTTP 源 认证 防御 ， 避 免 影响 正常 业务 。 
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| 配置 防 彻 第 略 

| <“TCP UDP iCMP Other DNS 
| 性 防备 

{ 


H 
基于 目的 iP 统计 


| 包 乏 记 沁 和 值 (pps) 
| 请 求 违 友 志 秆 (qps) 
基于 源太 婉 计 


闪 HTTP 漂 庆 证 防御 


代理 检 光 
源 认证 终止 条 件 





SiP HTTP HTTPS ”TopN 学 习 ” 首 包 检查 


8000 * (1-80000000) 


4000 * (1-89000000) 


* 392 重 定向 。。 验证 码 cookie 原 认证 


导入 第 申 模 板 导出 第 略 模板 确定 取消 


图 7-61 HTTP 防御 策略 的 配置 


?Xx 
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(0 配置 HTTPS 通用 防御 策略 ， 如 图 7-62 所 示 。 





4TCP UDP ICMP Other DNS SIP HTIP HTTPS ”Top N 学 习 首 包 检 查 > 
防御 
”HTTPS 潭 认证 防 征 
基于 目的 IP 统 计 
包 速 率 峡 秆 fpps) 2000 * {1-80000000} 
基于 源 IP 统 计 


SSL 防 御 © 


导入 策略 模板 导出 策略 模板 确定 取消 


图 7-62 HTTPS 防御 策略 的 配置 “- 


@) 配置 过 滤器 。 对 于 不 提供 服务 的 端口 ， 配 置 过 滤器 进行 阻 断 ， 和 否则 将 会 影响 防 
御 效果 。 

单 击 “ 过 滤器 ”页 签 ， 单 击 @ 关 Eid8& 。 选 中 ATIC 缺 省 提供 的 全 部 常用 过 滤器 模 
板 ， 单 击 “ 确 定 ”。 : 

步骤 5 部 署 防御 策略 。 

@ 选择 “防御 > 策略 配置 > 防护 对 象 ?”， 选 中 防护 对 象 前 的 复 选 框 ， 单 击 匡 部 署 。 

@ 单 击 “ 确 定 ” 显示 部 署 的 进度 提示 ， 完 成 部 署 后 进度 提示 自动 关闭 。 

步骤 6 基线 学 习 。 

选择 “防御 > 策略 配置 > 防护 对 象 ” 单 击 “ 基 线 学 习 状 态 ” 列 的 具体 状态 ， 开 局 
基线 学 习 功 能 ， 如 图 7-63 所 示 。 

基线 学 习 不 需要 配置 策略 ,只 要 有 流量 经 过 设备 即 可 。 

步骤 7 调整 阔 值 。 

在 一 般 情况 下 ， 如 果 应 用 基线 学 习 的 数据 后 ， 出 现 的 告警 比较 多 ， 则 需要 对 阔 值 或 
者 其 他 参数 进行 适当 调整 。 

将 抽样 比 调整 为 0， 即 统计 每 个 报 文 。 如 果 抽 样 比 配置 过 大 ， 当 流量 比较 小 的 时 候 ， 
统计 出 来 的 值 容易 失真 和 跳 变 。 在 一 般 情 况 下 ， 如 果 总 流量 小 于 1GB， 可 以 将 抽样 比 配 
置 为 0。 

查看 该 防护 对 象 的 流量 TopN 〈 无 攻击 的 情况 下 )， 选 取 流 量 最 大 的 IP， 并 以 此 IP 
查看 各 种 协议 的 流量 对 比 (统计 方式 选择 峰值 )， 时间 跨 度 选 择 一 周 。 然 后 使 用 每 种 流量 


第 7 篇 实战 241 


的 峰值 的 2 倍 作为 相应 防范 的 阔 值 。 如 果 流 量 峰 值 比较 小 ， 比 如 只 有 几 十 pps， 建 议 直 
接 使 用 默认 值 作为 阔 值 。 






















































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































创建 基线 学 习 任务 ?Xx 


基线 名 移 test 

学 习 忆 期 (天 ) 了 1* {1-90) 

当前 种 权重 0 | % 图 
开始 时 间 : 。 马上 启动 自 定 义 时 间 
结束 时 间 : * 手动 停止 自 定义 时 间 
-| 自动 生效 全 


图 7-63 ”基线 学 习 


步骤 8 保存 配置 。 
Q 选择 “防御 > 策略 配置 > 设备 全 局 配置 ” 选中 Anti-DDoS 设备 前 的 复 选 框 ， 单 
击 较 保存 设备 配置 。。 


@ 单 击 “ 确 定 ” 显示 保存 的 进度 提示 ， 完 成 保存 后 进度 提示 自动 关闭 。 





《华为 Anti-DDoS 技 术 漫 谈 》 站 


Anti-DDoS 技 术 的 学 习 工 具 图 书 ， 





由 华为 技术 有 限 公司 组 织 编 写 的 一 本 关于 华为 
也 是 华为 ICT 认 证 系列 培训 教材 。 本 书 以 华为 


Anti-DDoSs 方 案 为 主线 ， 结 合 近 几 年 的 热点 攻击 事件 ， 全 面 介绍 Anti-DDoS 技 术 


的 攻击 和 防御 原理 ， 























同时 结合 华为 Anti-DDoS 技 术 在 解决 方案 中 的 应 用 ， 系 统 杭 
理 了 各 种 场景 的 典型 配置 案例 供 读 者 参考 。 

本 书 集 系统 性 、 专 业 性 和 实用 
并 结合 抓 包 过 程 深 入 介绍 各 类 协议 的 DDoS 攻击 和 防 得 


性 于 一 体 ， 既 有 全 面 分 析 现 网 热点 的 攻击 案例 ， 


原理 ， 又 有 以 Step-by-Step 








方式 的 详尽 配置 ， 介 绍 了 典型 场景 的 部 团 和 操作 过 程 ， 层 次 清晰 ， 由 浅 入 深 , 通 





俗 易 懂 ， 使 理论 与 实 < 践 完 美 结合 


， 学 以 致 用 ， 化 繁 为 简 。 
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